Annuncio pubblicitario
L'autenticazione a due fattori (2FA) è uno dei progressi più ampiamente propagandati nella sicurezza online. All'inizio di questa settimana, è arrivata la notizia che era stato violato.
Grant Blakeman - un designer e proprietario dell'account Instagram @gb - Mi sono svegliato scoprendo che il suo account Gmail era stato compromesso e che gli hacker avevano rubato la sua gestione di Instagram. Questo nonostante fosse abilitato 2FA.
2FA: la versione breve
2FA è una strategia per rendere più difficile l'hacking degli account online. La mia collega Tina ha scritto un ottimo articolo su cos'è 2FA e perché dovresti usarlo Cos'è l'autenticazione a due fattori e perché dovresti usarlaL'autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due diversi modi per dimostrare la tua identità. È comunemente usato nella vita di tutti i giorni. Ad esempio, il pagamento con una carta di credito non richiede solo la carta, ... Leggi di più ; se desideri un'introduzione più dettagliata, dai un'occhiata.
In una tipica configurazione di autenticazione a un fattore (1FA) si utilizza solo una password. Questo lo rende incredibilmente vulnerabile; se qualcuno ha la tua password può accedere come te. Sfortunatamente, questa è la configurazione utilizzata dalla maggior parte dei siti Web.
2FA aggiunge un ulteriore fattore: in genere un codice di una volta inviato al telefono quando si accede al proprio account da un nuovo dispositivo o posizione. Qualcuno che cerca di entrare nel tuo account deve non solo rubare la tua password, ma anche, in teoria, avere accesso al tuo telefono quando prova ad accedere. Altri servizi, come Apple e Google, stanno implementando 2FA Blocca subito questi servizi con l'autenticazione a due fattoriL'autenticazione a due fattori è il modo intelligente per proteggere i tuoi account online. Diamo un'occhiata ad alcuni dei servizi che è possibile bloccare con una migliore sicurezza. Leggi di più .
La storia di Grant
La storia di Grant è molto simile a quella di Mat Honan, scrittore di Wired. Mat ha avuto la sua intera vita digitale distrutta dagli hacker che volevano accedervi il suo account Twitter: ha il nome utente @mat. Allo stesso modo, Grant ha le due lettere @gb account Instagram che lo ha reso un bersaglio.
Sul suo Account Ello Grant descrive come, per tutto il tempo in cui ha avuto il suo account Instagram, ha a che fare con email di reimpostazione della password indesiderate alcune volte alla settimana. Questa è una grande bandiera rossa che qualcuno sta cercando di hackerare nel tuo account. Occasionalmente riceveva un codice 2FA per l'account Gmail che era allegato al suo account Instagram.
Una mattina le cose erano diverse. Si svegliò con un sms che gli diceva che la password del suo account Google era stata modificata. Fortunatamente, è stato in grado di riottenere l'accesso al suo account Gmail, ma gli hacker hanno agito rapidamente e hanno eliminato il suo account Instagram, rubando l'handle di @gb per se stessi.
Quello che è successo a Grant è particolarmente preoccupante perché è accaduto nonostante usasse 2FA.
Hub e punti deboli
Sia gli hack di Mat che Grant hanno fatto affidamento sugli hacker che utilizzano punti deboli in altri servizi per accedere a un account hub principale: il loro account Gmail. Da questo, gli hacker sono stati in grado di eseguire una reimpostazione della password standard su qualsiasi account associato a quell'indirizzo e-mail. Se un hacker avesse accesso al mio Gmail, sarebbe in grado di accedere al mio account qui su MakeUseOf, il mio account Steam e tutto il resto.
Mat ha ha scritto un eccellente resoconto dettagliato di come è stato hackerato. Spiega come gli hacker hanno ottenuto l'accesso usando punti deboli nella sicurezza di Amazon per assumere il controllo del suo account, usando le informazioni hanno guadagnato da lì per accedere al suo account Apple e poi l'hanno usato per accedere al suo account Gmail e al suo intero digitale vita.
La situazione di Grant era diversa. L'hack di Mat non avrebbe funzionato se avesse abilitato 2FA sul suo account Gmail. Nel caso di Grant ci sono riusciti. I dettagli di ciò che è accaduto a Grant non sono così chiari ma alcuni dettagli possono essere dedotti. Scrivendo sul suo account Ello, Grant dice:
Quindi, per quanto ne so, l'attacco è effettivamente iniziato con il mio gestore di telefonia cellulare, che in qualche modo ha permesso un certo livello di accesso o social ingegneria nel mio account Google, che ha poi permesso agli hacker di ricevere un'e-mail di reimpostazione della password da Instagram, dando loro il controllo di l'account.
Gli hacker hanno abilitato l'inoltro di chiamata sul suo account di cellulare. Non è chiaro se ciò abbia permesso di inviare loro il codice 2FA o se abbiano usato un altro metodo per aggirarlo. Ad ogni modo, compromettendo l'account del telefono cellulare di Grant, hanno ottenuto l'accesso a Gmail e quindi a Instagram.
Evitare questa situazione da soli
In primo luogo, la chiave da asporto da questo non è che 2FA è rotto e non vale la pena installarlo. È un'eccellente configurazione di sicurezza che dovresti usare; non è a prova di proiettile. Invece di utilizzare il tuo numero di telefono per l'autenticazione, puoi farlo renderlo più sicuro utilizzando Authy o Google Authenticator La verifica in due passaggi può essere meno irritante? Quattro hack segreti garantiti per migliorare la sicurezzaVuoi una sicurezza dell'account a prova di proiettile? Consiglio vivamente di abilitare quella che viene chiamata autenticazione "a due fattori". Leggi di più . Se gli hacker di Grant fossero riusciti a reindirizzare il testo di verifica, questo avrebbe impedito.
In secondo luogo, considera perché le persone vorrebbero hackerarti. Se possiedi nomi utente o nomi di dominio preziosi, sei a rischio elevato. Allo stesso modo, se sei una celebrità, hai maggiori probabilità di essere violato 4 modi per evitare di essere hackerati come una celebritàNudi di celebrità trapelate nel 2014 hanno fatto notizia in tutto il mondo. Assicurati che non ti accada con questi suggerimenti. Leggi di più . Se non ti trovi in nessuna di queste situazioni, è più probabile che tu venga violato da qualcuno che conosci o in un attacco opportunistico dopo che la tua password è stata divulgata online. In entrambi i casi, la migliore difesa è password uniche e sicure per ogni singolo servizio. Io personalmente uso 1Password che è un modo utile per proteggere le tue password Consenti a 1Password per Mac di gestire password e dati protettiNonostante la nuova funzionalità iCloud Keychain in OS X Mavericks, preferisco ancora la potenza di gestire le mie password nel classico e popolare 1Password di AgileBits, ora alla sua quarta versione. Leggi di più ed è disponibile su tutte le principali piattaforme.
In terzo luogo, ridurre al minimo l'impatto degli account hub. Gli account hub rendono la vita facile per te ma anche per gli hacker. Imposta un account di posta elettronica segreto e utilizzalo come account di reimpostazione della password per i tuoi importanti servizi online. Mat l'aveva fatto, ma gli attaccanti erano in grado di vederne la prima e l'ultima lettera; hanno visto m••••[email protected]. Sii un po 'più fantasioso. Dovresti usare questa email anche per account importanti. Soprattutto quelli a cui sono allegate informazioni finanziarie come Amazon. In questo modo, anche se gli hacker ottengono l'accesso ai tuoi account hub, non avranno accesso a servizi importanti.
Infine, evita di pubblicare informazioni sensibili online. Gli hacker di Mat hanno trovato il suo indirizzo usando una ricerca WhoIs - che ti dice informazioni su chi possiede un sito - che li ha aiutati a entrare nel suo account Amazon. Il numero di cellulare di Grant era probabilmente disponibile anche da qualche parte online. Entrambi gli indirizzi email del loro hub erano disponibili pubblicamente, il che ha dato agli hacker un punto di partenza.
Adoro 2FA ma posso capire come questo cambierebbe l'opinione di alcune persone su di esso. Quali passi stai prendendo per proteggerti dopo gli hack di Mat Honan e Grant Blakeman?
Crediti immagine: 1Password.