L'autenticazione a due fattori (2FA) è uno dei progressi più ampiamente pubblicizzati nella sicurezza online. All'inizio di questa settimana, le notizie hanno rotto che era stato violato.
Grant Blakeman - designer e proprietario dell'account Instagram @gb - si è svegliato per scoprire che il suo account Gmail era compromesso e gli hacker avevano rubato il suo account Instagram. Questo nonostante abbia attivato 2FA.
2FA: la versione breve
2FA è una strategia per rendere gli account online più difficili da hackerare. La mia collega Tina ha scritto un ottimo articolo su cosa è 2FA e perché dovresti usarlo Cos'è l'autenticazione a due fattori e perché dovresti usarla Cos'è l'autenticazione a due fattori e perché dovresti usarla Autenticazione a due fattori (2FA ) è un metodo di sicurezza che richiede due diversi modi per dimostrare la tua identità. È comunemente usato nella vita di tutti i giorni. Ad esempio, il pagamento con una carta di credito non richiede solo la carta, ... Per saperne di più; se vuoi un'introduzione più dettagliata dovresti verificarlo.
In una tipica configurazione di autenticazione a un fattore (1FA) si usa solo una password. Questo lo rende incredibilmente vulnerabile; se qualcuno ha la tua password possono accedere come te. Sfortunatamente, questa è la configurazione della maggior parte dei siti web.
2FA aggiunge un ulteriore fattore: in genere un codice one time inviato al tuo telefono quando accedi al tuo account da un nuovo dispositivo o percorso. Qualcuno che cerca di penetrare nel tuo account deve non solo rubare la tua password ma, in teoria, avere accesso al tuo telefono quando provano ad accedere. Altri servizi, come Apple e Google, stanno implementando 2FA Lock Down Questi servizi ora con due -Factor Authentication Blocca giù questi servizi ora con autenticazione a due fattori L'autenticazione a due fattori è il modo intelligente per proteggere i tuoi account online. Diamo un'occhiata ad alcuni dei servizi che puoi bloccare con una maggiore sicurezza. Leggi di più .
La storia di Grant
La storia di Grant è molto simile allo scrittore di Wired Mat Honan. Mat ha distrutto tutta la sua vita digitale dagli hacker che volevano accedere al suo account Twitter: ha il nome utente @mat. Grant, allo stesso modo, ha l'account Instagram @gb di due lettere che lo ha reso un bersaglio.
Nel suo account Ello, Grant descrive come, dal momento che ha avuto il suo account Instagram, ha avuto a che fare con e-mail di reimpostazione della password non richieste alcune volte a settimana. Questa è una grande bandiera rossa che qualcuno sta cercando di hackerare nel tuo account. Occasionalmente avrebbe ricevuto un codice 2FA per l'account Gmail che era collegato al suo account Instagram.
Una mattina le cose erano diverse. Si è svegliato con un messaggio che gli diceva che la sua password dell'account Google era stata modificata. Fortunatamente, è stato in grado di riottenere l'accesso al suo account Gmail, ma gli hacker avevano agito rapidamente e cancellato il suo account Instagram, rubando l'handle @gb da soli.
Quello che è successo a Grant è particolarmente preoccupante perché si è verificato nonostante abbia utilizzato 2FA.
Mozzi e punti deboli
Gli hack di Mat e Grant si basavano su hacker che utilizzavano punti deboli in altri servizi per entrare in un account hub chiave: il loro account Gmail. Da questo, gli hacker sono stati in grado di eseguire una reimpostazione della password standard su qualsiasi account associato a tale indirizzo di posta elettronica. Se un hacker ha avuto accesso al mio account Gmail, sarà in grado di accedere al mio account qui su MakeUseOf, sul mio account Steam e su tutto il resto.
Mat ha scritto un resoconto eccellente e dettagliato di come è stato hackerato. Spiega come gli hacker hanno ottenuto l'accesso utilizzando i punti deboli della sicurezza di Amazon per prendere in consegna il suo account, utilizzato le informazioni che hanno ottenuto da lì per accedere al suo account Apple e quindi utilizzato per entrare nel suo account Gmail - e per tutta la sua vita digitale.
La situazione di Grant era diversa. L'attacco di Mat non avrebbe funzionato se avesse attivato 2FA sul suo account Gmail. Nel caso di Grant l'hanno aggirato. Le specifiche di ciò che è successo a Grant non sono chiare ma alcuni dettagli possono essere dedotti. Scrivendo sul suo account Ello, Grant dice:
Quindi, per quanto posso dire, l'attacco in realtà è iniziato con il mio fornitore di telefoni cellulari, che in qualche modo ha permesso un certo livello di accesso o ingegneria sociale nel mio account Google, che poi ha permesso agli hacker di ricevere un'email di reimpostazione della password da Instagram, dando loro il controllo dell'account.
Gli hacker hanno abilitato l'inoltro di chiamata sul suo account di cellulare. Non è chiaro se questo ha permesso di inviare il codice 2FA o se hanno usato un altro metodo per aggirare il problema. In ogni caso, compromettendo l'account del cellulare di Grant, hanno avuto accesso al suo Gmail e poi al suo Instagram.
Evitando questa situazione da soli
In primo luogo, la chiave da seguire non è che 2FA sia rotto e non valga la pena di essere installato. È un'impostazione di sicurezza eccellente che dovresti usare; è solo non a prova di proiettile. Piuttosto che usare il tuo numero di telefono per l'autenticazione, puoi renderlo più sicuro utilizzando Authy o Google Authenticator. La verifica in due passaggi può essere meno irritante? Quattro attacchi segreti garantiti per migliorare la sicurezza La verifica in due passaggi può essere meno irritante? Quattro segreti hacker garantiti per migliorare la sicurezza Volete la sicurezza dell'account a prova di proiettile? Consiglio vivamente di abilitare la cosiddetta autenticazione "a due fattori". Leggi di più . Se gli hacker di Grant riuscissero a reindirizzare il testo di verifica, ciò lo avrebbe fermato.
In secondo luogo, considera perché la gente vorrebbe hackerarti. Se possiedi nomi utente o nomi di dominio di valore, sei ad un rischio maggiore. Allo stesso modo, se sei una celebrità hai più probabilità di essere hackerato 4 modi per evitare di essere hackerato come una celebrità 4 modi per evitare di essere hackerato come una celebrità I nudi celebrità trapelati nel 2014 hanno fatto notizia in tutto il mondo. Assicurati che non ti capiti con questi suggerimenti. Leggi di più . Se non ti trovi in nessuna di queste situazioni, è più probabile che tu venga violato da qualcuno che conosci o in un attacco opportunistico dopo che la tua password è trapelata online. In entrambi i casi, la migliore difesa è password sicure e uniche per ogni singolo servizio. Personalmente uso 1Password che è un modo utile per proteggere le tue password Lascia 1Password per Mac Gestisci le tue password e i tuoi dati sicuri Lascia 1Password per Mac Gestisci le tue password e dati protetti Nonostante la nuova funzionalità di portachiavi iCloud in OS X Mavericks, preferisco ancora il potere di gestendo le mie password nella classica e popolare 1Password di AgileBits, ora nella sua quarta versione. Leggi di più ed è disponibile su tutte le principali piattaforme.
In terzo luogo, ridurre al minimo l'impatto degli account hub. Gli account Hub semplificano la vita ma anche per gli hacker. Configura un account e-mail segreto e utilizzalo come account di reimpostazione della password per i tuoi importanti servizi online. Mat l'aveva fatto, ma gli aggressori erano in grado di vedere la prima e l'ultima lettera; hanno visto m••••[email protected]. Sii un po 'più fantasioso. Dovresti usare questa email anche per account importanti. Soprattutto quelli che hanno informazioni finanziarie collegate come Amazon. In questo modo, anche se gli hacker ottengono l'accesso ai tuoi account hub, non potranno accedere a servizi importanti.
Infine, evita di pubblicare informazioni sensibili online. Gli hacker di Mat hanno trovato il suo indirizzo usando una ricerca WhoIs - che ti dice informazioni su chi possiede un sito - che li ha aiutati a entrare nel suo account Amazon. Il numero di cellulare di Grant era probabilmente disponibile anche da qualche parte online. Entrambi gli indirizzi e-mail del loro hub erano pubblicamente disponibili e davano agli hacker un punto di partenza.
Amo 2FA ma posso capire come questo cambierebbe l'opinione di alcune persone su di esso. Quali misure stai prendendo per proteggerti dopo gli hack di Mat Honan e Grant Blakeman?
Crediti immagine: 1Password.