Взломанная двухфакторная аутентификация: почему не стоит паниковать

Двухфакторная аутентификация (2FA) является одним из наиболее широко рекламируемых достижений в онлайн-безопасности. Ранее на этой неделе появились новости о том, что его взломали.

Грант Блейкман — дизайнер и владелец учетной записи в Instagram @gb — проснулся, обнаружив, что его учетная запись Gmail была взломана, а хакеры украли его ручку в Instagram. Это несмотря на то, что 2FA включен.

2FA: короткая версия

2FA — это стратегия усложнения взлома онлайн-аккаунтов. Моя коллега Тина написала отличную статью о том, что такое 2FA и почему вы должны его использовать.

; если вы хотите более подробное введение, вы должны проверить это.

В типичной настройке однофакторной аутентификации (1FA) вы используете только пароль. Это делает его невероятно уязвимым; если у кого-то есть ваш пароль, он может войти как вы. К сожалению, эта настройка используется большинством веб-сайтов.

2fa

2FA добавляет дополнительный фактор: обычно одноразовый код, отправляемый на ваш телефон, когда вы входите в свою учетную запись с нового устройства или местоположения. Кто-то, пытающийся проникнуть в вашу учетную запись, должен не только украсть ваш пароль, но и, теоретически, иметь доступ к вашему телефону, когда он пытается войти. Другие сервисы, такие как Apple и Google, внедряют 2FA

,

История Гранта

История Гранта очень похожа на историю автора Wired Mat Matan. Хакерам, которые хотели получить доступ к своей учетной записи в Твиттере, был уничтожен весь его цифровой мир: у него есть имя пользователя @mat. У Гранта также есть двухбуквенный аккаунт в Instagram, который сделал его мишенью.

gb_instagram

В своем аккаунте Ello Грант описывает, как, пока у него был аккаунт в Instagram, он несколько раз в неделю занимался нежелательными письмами для сброса пароля. Это большой красный флаг, который кто-то пытается взломать на ваш аккаунт. Время от времени он получал код 2FA для учетной записи Gmail, которая была прикреплена к его учетной записи в Instagram.

Однажды утром все было иначе. Он проснулся с сообщением о том, что пароль его учетной записи Google был изменен. К счастью, он смог восстановить доступ к своей учетной записи Gmail, но хакеры действовали быстро и удалили его учетную запись в Instagram, украдя для себя маркер @gb.

То, что случилось с Грантом, вызывает особую тревогу, потому что это произошло несмотря на то, что он использовал 2FA.

Хабы и слабые места

Хаки как Мата, так и Гранта полагались на то, что хакеры используют слабые места в других сервисах для входа в ключевую учетную запись хаба: свою учетную запись Gmail. Исходя из этого, хакеры смогли выполнить стандартный сброс пароля для любой учетной записи, связанной с этим адресом электронной почты. Если хакер получит доступ к моей Gmail, он сможет получить доступ к моей учетной записи здесь, в MakeUseOf, моей учетной записи Steam и ко всему прочему.

Мэт написал превосходный, подробный отчет о том, как именно его взломали. В нем объясняется, как хакеры получили доступ, используя слабые места в безопасности Amazon, чтобы захватить его учетную запись, использовали полученную от них информацию для доступа к своей учетной записи Apple, а затем использовали ее для входа в свою учетную запись Gmail — и всю свою цифровую жизнь.

Ситуация Гранта была другой. Взлом Мэтта не сработал бы, если бы он включил 2FA в своей учетной записи Gmail. В случае с Грантом они обошли это. Специфика того, что случилось с Грантом, не так ясна, но некоторые детали могут быть выведены. В своем отчете Элло Грант пишет:

Итак, насколько я могу судить, атака фактически началась с моего провайдера сотовой связи, который каким-то образом позволил некоторый уровень доступа или социальную инженерию в мою учетную запись Google, что затем позволило хакерам получить электронное письмо для сброса пароля из Instagram, предоставив им контроль счета.

Хакеры включили переадресацию звонков на свой мобильный телефон. Неясно, позволяло ли это отправить код 2FA им или они использовали другой метод, чтобы обойти это, неясно. В любом случае, взломав аккаунт Гранта на мобильном телефоне, они получили доступ к его Gmail, а затем к его Instagram.

Избежать этой ситуации самостоятельно

Во-первых, ключевой вывод заключается в том, что 2FA не работает и его не стоит устанавливать. Это отличная настройка безопасности, которую вы должны использовать; это просто не пуленепробиваемый. Вместо того, чтобы использовать свой номер телефона для аутентификации, вы можете сделать его более безопасным, используя Authy или Google Authenticator.

, Если бы хакерам Гранта удалось перенаправить текст подтверждения, это остановило бы его.

Во-вторых, подумайте, почему люди хотят взломать вас. Если у вас есть ценные имена пользователей или доменные имена, вы подвергаетесь повышенному риску. Точно так же, если вы знаменитость, у вас больше шансов быть взломанным

, Если вы не находитесь ни в одной из этих ситуаций, у вас больше шансов быть взломанным кем-либо из ваших знакомых, либо у вас будет случайный взлом после того, как ваш пароль будет разглашен в Интернете. В обоих случаях лучшая защита — это безопасные уникальные пароли для каждой отдельной услуги. Я лично использую 1Password, который является полезным способом защитить ваши пароли

и доступен на каждой основной платформе.

1password

В-третьих, минимизируйте влияние хаб-аккаунтов. Хаб-аккаунты облегчают жизнь как вам, так и хакерам. Создайте секретную учетную запись электронной почты и используйте ее в качестве учетной записи для сброса пароля для ваших важных онлайн-сервисов. Мэт сделал это, но злоумышленники смогли просмотреть первые и последние буквы; они увидели m••••n@me.com. Будь немного более изобретательным. Вы должны использовать это письмо также для важных учетных записей. Особенно те, которые имеют финансовую информацию, например, Amazon. Таким образом, даже если хакеры получат доступ к вашим учетным записям, они не получат доступ к важным службам.

Наконец, избегайте размещения конфиденциальной информации в Интернете. Хакеры Мата нашли его адрес с помощью поиска в WhoIs, который сообщает вам информацию о том, кто владеет сайтом, что помогло им войти в его учетную запись Amazon. Сотовый номер Гранта, вероятно, был также доступен где-то в Интернете. Оба адреса их хабов были общедоступны, что послужило отправной точкой для хакеров.

Я люблю 2FA, но я могу понять, как это изменило бы мнение некоторых людей об этом. Какие шаги ты предпринимаешь, чтобы защитить себя после того, как Мэт Хонан и Грант Блейкман взломали?

Кредиты изображений: 1Password.

Ссылка на основную публикацию
Adblock
detector