Peter Holmes
0 
4693
201
İki faktörlü kimlik doğrulama (2FA), çevrimiçi güvenlikte en yaygın kullanılan gelişmelerden biridir. Bu haftanın başlarında, haberi haberi kesildi.
@Bb Instagram hesabının tasarımcısı ve sahibi Grant Blakeman, Gmail hesabını tehlikeye attığını ve bilgisayar korsanlarının Instagram sapını çaldığını öğrendi. Bu 2FA etkin olmasına rağmen.
2FA: Kısa Versiyon
2FA, çevrimiçi hesapların kesilmesini zorlaştırmak için bir stratejidir. Meslektaşım Tina 2FA'nın ne olduğu ve neden kullanmanız gerektiğine dair Harika bir makale yazdı. İki Faktörlü Kimlik Doğrulama Nedir ve Neden Kullanmalısınız? İki Faktörlü Kimlik Doğrulama Nedir ve Neden İki Faktörlü Kimlik Doğrulama Kullanmalısınız (2FA) ) kimliğinizi kanıtlamak için iki farklı yol gerektiren bir güvenlik yöntemidir. Günlük yaşamda yaygın olarak kullanılır. Örneğin, bir kredi kartıyla ödeme yapmak sadece kartı gerektirmez,…; daha ayrıntılı bir tanıtım istiyorsanız, kontrol etmelisiniz.
Tipik bir tek faktörlü doğrulama kurulumunda (1FA) sadece bir şifre kullanırsınız. Bu inanılmaz derecede savunmasız kılar; Birisi şifrenizi varsa onlar senin gibi giriş yapabilirsiniz. Ne yazık ki, bu çoğu web sitesinin kullandığı kurulum.
2FA ek bir faktör ekler: tipik olarak hesabınıza yeni bir cihazdan veya konumdan giriş yaptığınızda telefonunuza gönderilen bir kerelik kod. Hesabınıza girmeye çalışan birisinin yalnızca şifrenizi çalması değil, aynı zamanda teoride de giriş yapmaya çalıştığınızda telefonunuza erişmesi gerekir. Apple ve Google gibi daha fazla hizmet, 2FA'yı Şimdi İki İle Dolduruyor -Factor Authentication İki Faktörlü Kimlik Doğrulama ile Bu Servisleri Şimdi Kilitleyin İki faktörlü kimlik doğrulama, çevrimiçi hesaplarınızı korumanın akıllı yoludur. Daha iyi güvenlik ile kilitleyebileceğiniz hizmetlerden birkaçına göz atalım. .
Grant'in Hikayesi
Grant'in hikayesi Wired yazıcısı Mat Honan'a çok benziyor. Mat, dijital hayatının tamamını Twitter hesabına erişmek isteyen bilgisayar korsanları tarafından tahrip etti: @ mat adlı kullanıcı adını aldı. Grant, benzer şekilde, onu hedef yapan iki harfli @gb Instagram hesabına sahiptir..
Ello hesabında Grant, Instagram hesabına sahip olduğu sürece, haftada birkaç kez istenmeyen şifre sıfırlama e-postalarıyla nasıl uğraştığını anlatıyor. Bu, birisinin hesabınıza girmeye çalıştığı büyük bir kırmızı bayrak. Bazen, Instagram hesabına ekli Gmail hesabı için 2FA kodu alırdı..
Bir sabah işler farklıydı. Ona Google Hesabı şifresinin değiştirildiğini söyleyen bir metne uyandı. Neyse ki, Gmail hesabına tekrar erişebildi, ancak bilgisayar korsanları hızlı davrandılar ve Instagram hesabını silerek gb tanıtıcısını kendileri için çaldılar.
Grant'e olanlar özellikle endişe verici çünkü 2FA kullanmasına rağmen gerçekleşti..
Hub ve Zayıf Noktalar
Hem Mat hem de Grant'in bilgisayar korsanları, bir anahtar hub hesabına girmek için diğer hizmetlerdeki zayıf noktaları kullanan bilgisayar korsanlarına güvendi: Gmail hesapları. Bundan sonra bilgisayar korsanları, bu e-posta adresiyle ilişkili herhangi bir hesapta standart bir şifre sıfırlama yapabildi. Bir hacker Gmail’e erişim sağladıysa, MakeUseOf'taki hesabımı, Steam hesabımı ve diğer her şeyi burada bulabilirlerdi..
Mat tam olarak nasıl saldırıya uğradığına dair mükemmel, ayrıntılı bir açıklama yazdı. Hackerların Amazon'un güvenliğindeki zayıf noktaları kullanarak hesabını ele geçirmek için nasıl erişim kazandıklarını, oradan edindikleri bilgileri Apple hesabına erişmek için kullandıklarını ve daha sonra bunu Gmail hesabına ve tüm dijital yaşamlarına girmek için kullandıklarını açıklıyor..
Grant'in durumu farklıydı. Mat'ın kesmesi, Gmail hesabında 2FA'yı etkinleştirmiş olsaydı işe yaramazdı. Grant'in durumunda, etrafta dolandılar. Grant'e olanların özellikleri net değil ama bazı detaylar çıkarılabilir. Ello hesabına yazan Grant şöyle diyor:
Şimdiye kadar söyleyebileceğim kadarıyla, saldırı aslında cep telefonu sağlayıcımla başladı, bu da Google hesabıma bir şekilde erişim ya da sosyal mühendisliğe izin verdi ve ardından bilgisayar korsanlarının Instagram'dan bir parola sıfırlama e-postası almalarını sağladılar. hesabın.
Bilgisayar korsanları cep telefonu hesabından çağrı yönlendirmeyi etkinleştirdi. Bunun 2FA kodunun kendilerine gönderilmesine izin verilip verilmeyeceği veya bunu çözmek için başka bir yöntem kullanıp kullanmadıkları belirsizdir. Her iki durumda da, Grant'in cep telefonu hesabından ödün vererek, Gmail’e ve ardından Instagram’a erişebildiler..
Bu Durumu Kendinizden Kaçının
Birincisi, bu paketten gelen paket servisi 2FA'nın kırılması ve kurulmaya değer olmamasıdır. Kullanmanız gereken mükemmel bir güvenlik kurulumudur; Sadece kurşun geçirmez değil. Telefon numaranızı kimlik doğrulaması için kullanmak yerine, Authy veya Google Authenticator kullanarak daha güvenli hale getirebilirsiniz. İki Adımlı Doğrulama Daha Az Tahriş Olabilir mi? Güvenliği Arttırmanın Garantili Dört Gizli Hack İki Adımlı Doğrulamanın Daha Az Tahriş Edilmesini Sağlayabilir mi? Güvenliği Artırma Garantili Dört Gizli Hack Kurşun geçirmez hesap güvenliği ister misiniz? "İki faktörlü" kimlik doğrulama adı verilen şeyi etkinleştirmenizi şiddetle tavsiye ederim. . Eğer Grant'in bilgisayar korsanları doğrulama metnini yeniden yönlendirebilseydi, bu onu durdururdu..
İkincisi, insanların neden seni kırmak istediklerini düşün. Değerli kullanıcı adlarınız veya alan adlarınız varsa, yüksek risk altındasınız demektir. Benzer şekilde, eğer bir ünlüyseniz daha fazla saldırıya uğramazsınız. Ünlü Bir Kişi Gibi Kesilmekten Kaçınmanın 4 Yolu Bir Ünlü Gibi Kesilmekten Kaçınmanın 4 Yolu 2014'te Sızan ünlülerin dünya çapında manşetlere çıkması. Bu ipuçlarıyla başınıza gelmediğinden emin olun. . Bu durumlardan hiçbirinde değilseniz, şifreniz çevrimiçi olarak sızdırıldıktan sonra tanıdığınız biri tarafından veya fırsatçı bir saldırıya maruz kalma ihtimaliniz daha yüksektir. Her iki durumda da en iyi savunma, her bir servis için güvenli ve benzersiz şifrelerdir. Kişisel şifrelerimi şifrelerimi korumanın en iyi yolu olan 1Password'ü kullanıyorum. Mac için 1Password Şifrelerinizi ve Güvenli Verilerinizi Yönetin! Mac için 1Password'ün Şifrelerinizi ve Güvenli Verilerinizi Yönetmesine İzin Verin OS X Mavericks'teki yeni iCloud Anahtarlık özelliğine rağmen hala gücünü tercih ediyorum şifreleri AgileBits'in klasik ve popüler 1Password'ünde, şimdi 4. sürümünde yönetiyor. ve her büyük platformda mevcuttur.
Üçüncüsü, hub hesapların etkisini en aza indirin. Hub hesapları hayatı hem sizin için hem de bilgisayar korsanları için kolaylaştırır. Gizli bir e-posta hesabı oluşturun ve bunu önemli çevrimiçi hizmetleriniz için şifre sıfırlama hesabı olarak kullanın. Mat bunu yapmıştı ama saldırganlar ilk ve son harflerini görebildiler; m gördüler••••[email protected]. Biraz daha yaratıcı ol. Bu e-postayı da önemli hesaplar için kullanmalısınız. Özellikle Amazon gibi ekli finansal bilgilere sahip olanlar. Bu şekilde, bilgisayar korsanları merkez hesaplarınıza erişseler bile önemli hizmetlere erişemezler.
Son olarak, hassas bilgileri çevrimiçi olarak yayınlamaktan kaçının. Mat'ın bilgisayar korsanları, adresini, bir sitenin kime ait olduğu hakkında size bilgi veren, Amazon hesabına girmelerine yardımcı olan bir WhoIs araması kullanarak buldular. Grant'in hücre numarası da çevrimiçi bir yerde mevcuttu. Her ikisi de hub e-posta adresleri halka açıktı ve bilgisayar korsanlarına bir başlangıç noktası verdi..
2FA'yı seviyorum ama bunun bazı insanların onun fikrini nasıl değiştireceğini anlayabiliyorum. Mat Honan ve Grant Blakeman saldırıları sonrasında kendinizi korumak için hangi adımları atıyorsunuz??
Resim Kredisi: 1Password.