Безопасность

Взломана двухфакторная аутентификация: почему не стоит паниковать

Взломана двухфакторная аутентификация: почему не стоит паниковать

Двухфакторная аутентификация (2FA) является одним из наиболее широко рекламируемых достижений в онлайн-безопасности. Ранее на этой неделе появились новости о том, что его взломали .

Грант Блейкман — дизайнер и владелец учетной записи в Instagram @gb — проснулся, обнаружив, что его учетная запись Gmail скомпрометирована, а хакеры украли его ручку в Instagram. Это несмотря на то, что 2FA включен.

2FA: короткая версия

2FA — это стратегия усложнения взлома онлайн-аккаунтов. Моя коллега Тина написала отличную статью о том, что такое 2FA, и почему вы должны использовать его, и почему вы должны его использовать, что ; если вы хотите более подробное введение, вы должны проверить его.

В типичной настройке однофакторной аутентификации (1FA) вы используете только пароль. Это делает его невероятно уязвимым; если у кого-то есть ваш пароль, он может войти как вы. К сожалению, эта настройка используется большинством веб-сайтов.

2fa

2FA добавляет дополнительный фактор: обычно одноразовый код, отправляемый на ваш телефон, когда вы входите в свою учетную запись с нового устройства или местоположения. Кто-то, пытающийся взломать ваш аккаунт, должен не только украсть ваш пароль, но и, теоретически, иметь доступ к вашему телефону, когда он пытается войти в систему. Другие сервисы, такие как Apple и Google, внедряют 2FA

История Гранта

История Гранта очень похожа на историю автора Wired Mat Matan. Хакеры, которые хотели получить доступ к своей учетной записи в Твиттере, уничтожили всю его цифровую жизнь : у него есть имя пользователя @mat . У Гранта также есть двухбуквенный аккаунт в Instagram @gb, что сделало его мишенью.

gb_instagram

В своем аккаунте Ello Грант описывает, как, пока у него есть аккаунт в Instagram, он несколько раз в неделю занимается нежелательными письмами для сброса пароля. Это большой красный флаг, который кто-то пытается взломать на ваш аккаунт. Иногда он получал код 2FA для учетной записи Gmail, который был прикреплен к его учетной записи в Instagram.

Однажды утром все было иначе. Он проснулся от сообщения о том, что пароль его учетной записи Google был изменен. К счастью, он смог восстановить доступ к своей учетной записи Gmail, но хакеры действовали быстро и удалили его учетную запись в Instagram, украдя для себя маркер @gb.

То, что случилось с Грантом, вызывает особую тревогу, потому что это произошло несмотря на то, что он использовал 2FA.

Хабы и слабые места

Взломы Мата и Гранта основывались на том, что хакеры использовали слабые места в других сервисах для проникновения в ключевую учетную запись концентратора: свою учетную запись Gmail. Исходя из этого, хакеры смогли выполнить стандартный сброс пароля для любой учетной записи, связанной с этим адресом электронной почты. Если хакер получит доступ к моей Gmail, он сможет получить доступ к моей учетной записи здесь, в , моей учетной записи Steam и ко всему прочему.

Мэт написал превосходный, подробный отчет о том, как именно его взломали . Он объясняет, как хакеры получили доступ, используя слабые места в безопасности Amazon, чтобы захватить его учетную запись, использовали полученную оттуда информацию для доступа к своей учетной записи Apple, а затем использовали ее для входа в свою учетную запись Gmail — и всю свою цифровую жизнь.

Ситуация Гранта была другой. Взлом Мэта не сработал бы, если бы он включил 2FA на своем аккаунте Gmail. В случае с Грантом они обошли это. Специфика того, что случилось с Грантом, не так ясна, но некоторые детали могут быть выведены. В своем отчете Элло Грант пишет:

Итак, насколько я могу судить, атака фактически началась с моего провайдера сотовой связи, который каким-то образом позволил некоторый уровень доступа или социальную инженерию в мою учетную запись Google, что затем позволило хакерам получить электронное письмо для сброса пароля из Instagram, предоставив им контроль счета.

Хакеры включили переадресацию на свой мобильный телефон. Неясно, позволяло ли это отправить код 2FA им или они использовали другой способ обойти это. В любом случае, взломав аккаунт Гранта на мобильном телефоне, они получили доступ к его Gmail, а затем к его Instagram.

Избежать этой ситуации самостоятельно

Во-первых, ключевой вывод заключается в том, что 2FA не работает и его не стоит устанавливать. Это отличная настройка безопасности, которую вы должны использовать; это просто не пуленепробиваемый. Вместо того, чтобы использовать свой номер телефона для аутентификации, вы можете сделать его более безопасным, используя Authy или Google Authenticator. Если бы хакерам Гранта удалось перенаправить текст подтверждения, это бы остановило его.

Во-вторых, подумайте, почему люди хотят взломать вас. Если у вас есть ценные имена пользователей или доменные имена, вы подвергаетесь повышенному риску. Точно так же, если вы — знаменитость, у вас больше шансов быть взломанным Если вы не находитесь ни в одной из этих ситуаций, вы, скорее всего, будете взломаны кем-то из ваших знакомых или попадаете в оппортунистический хак после того, как ваш пароль будет обнаружен в сети. В обоих случаях лучшая защита — это безопасные уникальные пароли для каждой отдельной услуги. Я лично использую 1Password, который является полезным способом защиты ваших паролей. и доступно на каждой основной платформе.

1password

В-третьих, минимизируйте влияние хаб-аккаунтов. Хаб-аккаунты облегчают жизнь как вам, так и хакерам. Создайте секретную учетную запись электронной почты и используйте ее в качестве учетной записи для сброса пароля для ваших важных онлайн-сервисов. Мэт сделал это, но злоумышленники смогли просмотреть первые и последние буквы; они увидели m••••n@me.com. Будь немного более изобретательным. Вы должны использовать это письмо также для важных учетных записей. Особенно те, которые имеют финансовую информацию, как Amazon. Таким образом, даже если хакеры получат доступ к вашим учетным записям, они не получат доступ к важным службам.

Наконец, избегайте размещения конфиденциальной информации в Интернете. Хакеры Мата нашли его адрес с помощью поиска в WhoIs, который сообщает вам информацию о том, кто владеет сайтом, что помогло им войти в его учетную запись Amazon. Сотовый номер Гранта, вероятно, был доступен где-то в Интернете. Оба адреса их хабов были общедоступны, что послужило отправной точкой для хакеров.

Я люблю 2FA, но я могу понять, как это изменит мнение некоторых людей об этом. Какие шаги вы предпринимаете, чтобы защитить себя после взлома Мэтта Хонана и Гранта Блейкмена?

Кредиты изображений: 1Password .

Похожие посты
Безопасность

Лучшие 36 сочетаний клавиш для Microsoft Edge и IE 11

Безопасность

Управляйте браузером Firefox с помощью команд «О программе»

Безопасность

Microsoft Security Essentials Бесплатное антивирусное программное обеспечение

Безопасность

Avira Rescue System v16