Die Zwei-Faktor-Authentifizierung (2FA) ist einer der am weitesten verbreiteten Fortschritte in der Online-Sicherheit. Zu Beginn dieser Woche wurde bekannt, dass es gehackt wurde.
Grant Blakeman - ein Designer und Besitzer des @gb Instagram-Accounts - wachte auf, als sein Gmail-Account kompromittiert wurde und Hacker seinen Instagram-Handle gestohlen hatten. Dies war trotz 2FA aktiviert.
2FA: Die kurze Version
2FA ist eine Strategie, um Online-Konten schwerer zu hacken. Meine Kollegin Tina hat einen großartigen Artikel darüber geschrieben, was 2FA ist und warum Sie es verwenden sollten. Was ist Zwei-Faktor-Authentifizierung, und warum sollten Sie es verwenden? Was ist Zwei-Faktor-Authentifizierung, und warum sollten Sie es verwenden Zwei-Faktor-Authentifizierung (2FA ) ist eine Sicherheitsmethode, die zwei verschiedene Arten des Nachweises Ihrer Identität erfordert. Es wird häufig im täglichen Leben verwendet. Zum Beispiel erfordert die Zahlung mit einer Kreditkarte nicht nur die Karte, ... Lesen Sie mehr; Wenn Sie eine detailliertere Einführung wünschen, sollten Sie es überprüfen.
In einem typischen One-Faktor-Authentifizierungs-Setup (1FA) verwenden Sie nur ein Passwort. Dies macht es unglaublich anfällig; Wenn jemand Ihr Passwort hat, kann er sich wie Sie einloggen. Leider ist dies die Einrichtung, die die meisten Websites verwenden.
2FA fügt einen zusätzlichen Faktor hinzu: In der Regel wird ein Einmal-Code an Ihr Telefon gesendet, wenn Sie sich von einem neuen Gerät oder Standort an Ihrem Konto anmelden. Jemand, der versucht, in Ihr Konto einzudringen, muss nicht nur Ihr Passwort stehlen, sondern theoretisch Zugang zu Ihrem Telefon haben, wenn er sich anmeldet. Weitere Dienste wie Apple und Google implementieren 2FA Lockdown diese Dienste jetzt mit zwei -Faktor-Authentifizierung Sperren Sie diese Dienste jetzt mit Zwei-Faktor-Authentifizierung Zwei-Faktor-Authentifizierung ist die intelligente Möglichkeit, Ihre Online-Konten zu schützen. Werfen wir einen Blick auf einige der Dienste, die Sie mit besserer Sicherheit sperren können. Weiterlesen .
Grants Geschichte
Grants Geschichte ist der von Wired-Autor Mat Honan sehr ähnlich. Mat hatte sein gesamtes digitales Leben von Hackern zerstört, die Zugriff auf seinen Twitter-Account haben wollten: Er hat den Benutzernamen @mat. Ähnlich hat Grant den zweibayigen @ gb Instagram-Account, der ihn zum Ziel gemacht hat.
Auf seinem Ello-Konto beschreibt Grant, wie er, seit er seinen Instagram-Account hat, einige Male pro Woche mit unerwünschten E-Mails zum Zurücksetzen von Passwörtern umgeht. Das ist eine große rote Flagge, die jemand versucht, in Ihr Konto zu hacken. Gelegentlich erhielt er einen 2FA-Code für das Gmail-Konto, das mit seinem Instagram-Konto verknüpft war.
Eines Morgens waren die Dinge anders. Er wachte auf, als er ihm mitteilte, dass sein Passwort für das Google-Konto geändert worden war. Glücklicherweise konnte er wieder auf sein Google Mail-Konto zugreifen, aber die Hacker hatten schnell gehandelt und seinen Instagram-Account gelöscht, indem sie das @ gb-Handle gestohlen haben.
Was mit Grant passiert ist, ist besonders besorgniserregend, weil es trotz seiner Verwendung von 2FA passiert ist.
Hubs und schwache Punkte
Sowohl Mat's als auch Grants Hacks stützten sich auf Hacker, die Schwachstellen in anderen Diensten nutzten, um in ein zentrales Hub-Konto einzusteigen: ihr Google Mail-Konto. Aus diesem Grund konnten die Hacker ein Standard-Passwort für jedes Konto zurücksetzen, das mit dieser E-Mail-Adresse verknüpft war. Wenn ein Hacker Zugriff auf mein Google Mail-Konto erhält, kann er über MakeUseOf, meinen Steam-Account und alles andere Zugriff auf mein Konto erhalten.
Mat hat eine ausgezeichnete, detaillierte Beschreibung darüber geschrieben, wie er gehackt wurde. Es erklärt, wie die Hacker Zugang zu Schwachstellen in der Sicherheit von Amazon hatten, um sein Konto zu übernehmen, nutzten die dort gewonnenen Informationen für den Zugriff auf sein Apple-Konto und nutzten es, um in sein Google Mail-Konto zu gelangen - und sein gesamtes digitales Leben.
Grants Situation war anders. Mat's Hack hätte nicht funktioniert, wenn er 2FA in seinem Google Mail-Konto aktiviert hätte. In Grants Fall haben sie es geschafft. Die Einzelheiten zu dem, was Grant passiert ist, sind nicht so klar, aber einige Details können abgeleitet werden. Grant schreibt auf seinen Ello-Account:
Soweit ich das beurteilen kann, begann der Angriff tatsächlich mit meinem Mobilfunkanbieter, der irgendwie Zugang zu meinem Social-Media-Konto oder Social Engineering ermöglichte, wodurch die Hacker von Instagram eine E-Mail zum Zurücksetzen des Passworts erhalten konnten des Kontos.
Die Hacker aktivierten die Anrufweiterleitung auf seinem Handy-Konto. Ob der 2FA-Code an sie gesendet werden konnte oder ob eine andere Methode verwendet wurde, ist unklar. So oder so, indem sie Grants Handy-Konto kompromittierten, erhielten sie Zugang zu seinem Gmail und dann seinem Instagram.
Diese Situation selbst vermeiden
Erstens ist das Entscheidende nicht, dass 2FA kaputt ist und sich nicht aufstellen lässt. Es ist eine ausgezeichnete Sicherheitseinstellung, die Sie verwenden sollten; es ist einfach nicht kugelsicher. Anstatt Ihre Telefonnummer zur Authentifizierung zu verwenden, können Sie sie sicherer machen, indem Sie Authy oder Google Authenticator verwenden. Kann die Bestätigung in zwei Schritten weniger irritierend sein? Vier geheime Hacks, die die Sicherheit verbessern können, können in zwei Schritten verfälscht werden? Vier Geheime Hacks, die die Sicherheit verbessern sollen Möchten Sie eine kugelsichere Kontosicherheit? Ich empfehle dringend, die sogenannte "Zwei-Faktor" -Authentifizierung zu aktivieren. Weiterlesen . Wenn es Grants Hackern gelungen wäre, den Verifizierungstext umzuleiten, hätte dies den Absturz verhindert.
Zweitens, überlegen Sie, warum die Leute Sie hacken wollten. Wenn Sie wertvolle Benutzernamen oder Domainnamen besitzen, haben Sie ein erhöhtes Risiko. In ähnlicher Weise, wenn Sie eine Berühmtheit sind, sind Sie eher gehackt 4 Wege zu vermeiden, gehackt werden wie eine Berühmtheit 4 Möglichkeiten zu vermeiden, gehackt werden wie eine Berühmtheit Durchgesickerte Promi-Akte im Jahr 2014 machten Schlagzeilen auf der ganzen Welt. Stellen Sie sicher, dass es Ihnen mit diesen Tipps nicht passiert. Weiterlesen . Wenn Sie sich in keiner dieser Situationen befinden, werden Sie eher von jemandem gehackt, den Sie kennen, oder in einem opportunistischen Hack, nachdem Ihr Passwort online durchgesickert ist. In beiden Fällen ist die beste Verteidigung sichere, eindeutige Kennwörter für jeden einzelnen Dienst. Ich persönlich benutze 1Password, das ist eine nützliche Möglichkeit, um Ihre Passwörter zu sichern Let 1Password für Mac Verwalten Sie Ihre Passwörter und sichere Daten Lassen Sie 1Password für Mac Verwalten Sie Ihre Passwörter und sichere Daten Trotz der neuen iCloud Keychain-Funktion in OS X Mavericks, bevorzuge ich immer noch die Kraft von Verwalte meine Passwörter in AgileBits 'klassischem und populärem 1Password, jetzt in der 4. Version. Lesen Sie mehr und ist auf jeder wichtigen Plattform verfügbar.
Drittens minimieren Sie die Auswirkungen von Hub-Konten. Hub-Accounts erleichtern Ihnen, aber auch Hackern das Leben. Richten Sie ein geheimes E-Mail-Konto ein und verwenden Sie es als Passwort-Reset-Konto für Ihre wichtigen Online-Dienste. Mat hatte das getan, aber die Angreifer konnten die ersten und letzten Briefe sehen; Sie sahen mà ©••• [email protected]. Ein bisschen einfallsreicher sein. Sie sollten diese E-Mail auch für wichtige Konten verwenden. Vor allem solche, die finanzielle Informationen wie Amazon haben. Auf diese Weise erhalten Hacker, auch wenn sie Zugang zu Ihren Hub-Konten haben, keinen Zugang zu wichtigen Diensten.
Vermeiden Sie es schließlich, vertrauliche Informationen online zu veröffentlichen. Mat's Hacker fanden seine Adresse mit einem WhoIs-Lookup - der Ihnen Informationen darüber gibt, wer eine Site besitzt - was ihnen half, in sein Amazon-Konto einzusteigen. Grants Zellennummer war wahrscheinlich auch online verfügbar. Beide Hub-E-Mail-Adressen waren öffentlich verfügbar, was Hackern einen Ausgangspunkt gab.
Ich liebe 2FA, aber ich kann verstehen, dass dies die Meinung einiger Leute ändern würde. Welche Schritte unternimmst du, um dich nach den Mat Honan und Grant Blakeman Hacks zu schützen?
Bildnachweise: 1Passwort.