İlan
İki faktörlü kimlik doğrulama (2FA), çevrimiçi güvenliğin en yaygın şekilde yapılan ilerlemelerinden biridir. Bu haftanın başlarında, hacklendiğini haber kırdı.
Grant Blakeman - tasarımcı ve @gb Instagram hesabının sahibi - Gmail hesabının güvenliğinin ihlal edildiğini ve bilgisayar korsanlarının Instagram işlemlerini çaldığını bulmak için uyandım. Bu 2FA etkin olmasına rağmen oldu.
2FA: Kısa Versiyon
2FA, çevrimiçi hesapları saldırıya zorlaştırmak için bir stratejidir. Meslektaşım Tina hakkında harika bir makale yazdı 2FA nedir ve neden kullanmalısınız? İki Faktörlü Kimlik Doğrulama Nedir ve Neden Kullanmalısınız?İki faktörlü kimlik doğrulama (2FA), kimliğinizi kanıtlamanın iki farklı yolunu gerektiren bir güvenlik yöntemidir. Günlük yaşamda yaygın olarak kullanılır. Örneğin, bir kredi kartıyla ödeme yapmak için sadece kart değil, ... Daha fazla oku ; daha ayrıntılı bir tanıtım istiyorsanız, kontrol etmelisiniz.
Tipik bir faktörlü kimlik doğrulama kurulumunda (1FA) yalnızca bir şifre kullanırsınız. Bu onu inanılmaz derecede savunmasız hale getirir; Birisi şifreniz varsa, sizin gibi giriş yapabilir. Ne yazık ki, bu çoğu web sitesinin kullandığı kurulumdur.
2FA ek bir faktör ekler: genellikle hesabınıza yeni bir cihazdan veya konumdan giriş yaptığınızda telefonunuza gönderilen bir kerelik kod. Hesabınıza girmeye çalışan birinin sadece şifrenizi çalması değil, aynı zamanda teorik olarak, giriş yapmaya çalışırken telefonunuza erişmesi gerekir. Apple ve Google gibi daha fazla hizmet 2FA uyguluyor İki Faktörlü Kimlik Doğrulama ile Bu Hizmetleri Şimdi Kilitleyinİki faktörlü kimlik doğrulama, çevrimiçi hesaplarınızı korumanın akıllı yoludur. Daha iyi güvenlikle kilitleyebileceğiniz birkaç hizmete bir göz atalım. Daha fazla oku .
Grant’in Hikayesi
Grant’in hikayesi Kablolu yazar Mat Honan’ın hikayesine çok benziyor. Mat, tüm dijital yaşamına erişmek isteyen bilgisayar korsanları tarafından yok edildi Twitter hesabı: @mat kullanıcı adına sahip. Grant de benzer şekilde iki harfli @gb Instagram hesabı bu da onu bir hedef haline getirdi.
Onun üstünde Ello hesabı Grant, Instagram hesabına sahip olduğu sürece, haftada birkaç kez istenmeyen şifre sıfırlama e-postalarıyla nasıl uğraştığını açıklıyor. Bu, birinin hesabınıza girmeye çalıştığı büyük bir kırmızı bayrak. Bazen Instagram hesabına eklenmiş Gmail hesabı için 2FA kodu alacaktı.
Bir sabah işler farklıydı. Ona Google Hesabı şifresinin değiştirildiğini söyleyen bir metin uyandı. Neyse ki, Gmail hesabına tekrar erişebildi, ancak bilgisayar korsanları hızlı hareket etti ve Instagram hesabını silerek @gb tutamacını kendileri çaldı.
Grant'e olan şey özellikle endişe vericidir çünkü 2FA kullanmasına rağmen gerçekleşti.
Göbekler ve Zayıf Noktalar
Hem Mat’ın hem de Grant’in bilgisayar korsanları, kilit bir hub hesabına girmek için diğer hizmetlerde zayıf noktalar kullanan hackerlara güveniyordu: Gmail hesapları. Bundan sonra, bilgisayar korsanları bu e-posta adresiyle ilişkili herhangi bir hesapta standart bir parola sıfırlama yapabilir. Bir bilgisayar korsanı Gmail'ime erişirse, hesabımdan MakeUseOf, Steam hesabım ve diğer her şeyden buradan erişebilirler.
Mat vardır nasıl saldırıya uğradığını gösteren mükemmel ve ayrıntılı bir açıklama yazdı. Bilgisayar korsanlarının hesabını ele geçirmek için Amazon’un güvenliğindeki zayıf noktaları kullanarak nasıl erişim elde ettiklerini açıklar. Apple hesabına erişmek için oradan kazandılar ve ardından Gmail hesabına ve tüm dijitaline girmek için kullandılar. hayat.
Grant'in durumu farklıydı. Gmail hesabında 2FA etkinleştirilmiş olsaydı, Mat’ın kesmek işe yaramazdı. Grant'in davasında etrafta dolandılar. Grant'e olanların detayları net değil, ancak bazı detaylar çıkarılabilir. Ello hesabına yazan Grant şöyle diyor:
Yani, söyleyebildiğim kadarıyla, saldırı aslında bir şekilde erişim veya sosyal bir şekilde izin veren cep telefonu sağlayıcımla başladı. Google hesabıma mühendislik yaparak, bilgisayar korsanlarının Instagram'dan şifre sıfırlama e-postası almasına izin vererek hesap.
Bilgisayar korsanları, cep telefonu hesabında çağrı yönlendirmeyi etkinleştirdi. Bunun, 2FA kodunun kendilerine gönderilmesine izin verip vermediği veya dolaşmak için başka bir yöntem kullandığı bilinmemektedir. Her iki durumda da, Grant’in cep telefonu hesabından ödün vererek Gmail’ine ve ardından Instagram’ına eriştiler.
Bu Durumdan Kendinizi Önlemek
Birincisi, bu anahtar paket servisi olan restoran 2FA kırık ve kurmaya değer değil. Kullanmanız gereken mükemmel bir güvenlik kurulumudur; sadece kurşun geçirmez değil. Kimlik doğrulaması için telefon numaranızı kullanmak yerine, Authy veya Google Authenticator'ı kullanarak daha güvenli hale getirin İki Adımlı Doğrulama Daha Az Tahriş Edebilir mi? Güvenliği Artırmayı Garantileyen Dört Gizli HackKurşun geçirmez hesap güvenliği ister misiniz? "İki faktörlü" kimlik doğrulamasını etkinleştirmenizi önemle tavsiye ederim. Daha fazla oku . Grant’in bilgisayar korsanları doğrulama metnini yeniden yönlendirmeyi başarırsa, bu metni durdururdu.
İkincisi, insanların neden sizi hacklemek isteyeceğini düşünün. Değerli kullanıcı adlarınız veya alan adlarınız varsa, yüksek bir risk altındasınız demektir. Benzer şekilde, sen bir ünlüsün, saldırıya uğrama olasılığın daha yüksek Ünlü Gibi Saldırıdan Kaçınmanın 4 Yolu2014 yılında sızdırılan ünlü çıplaklar dünya çapında manşetlere çıktı. Bu ipuçlarıyla başınıza gelmediğinden emin olun. Daha fazla oku . Bu durumlardan herhangi birinde değilseniz, şifreniz çevrimiçi olarak sızdıktan sonra tanıdığınız biri veya fırsatçı bir saldırıya uğramış olmanız daha olasıdır. Her iki durumda da, en iyi savunma her bir hizmet için güvenli, benzersiz şifrelerdir. Ben şahsen kullanıyorum 1Password hangisi şifrelerinizi korumanın yararlı bir yolu Mac için 1Password Parolalarınızı ve Güvenli Verilerinizi YönetsinOS X Mavericks'teki yeni iCloud Anahtarlık özelliğine rağmen, hala 4. sürümünde AgileBits'in klasik ve popüler 1Password'undaki şifreleri yönetme gücünü tercih ediyorum. Daha fazla oku ve her büyük platformda kullanılabilir.
Üçüncü olarak, hub hesaplarının etkisini en aza indirin. Hub hesapları hayatı sizin için değil, bilgisayar korsanları için de kolaylaştırır. Gizli bir e-posta hesabı oluşturun ve bunu önemli çevrimiçi hizmetleriniz için şifre sıfırlama hesabı olarak kullanın. Mat bunu yapmıştı ama saldırganlar ilk ve son harflerini görebiliyorlardı; onlar m••••[email protected] gördüler. Biraz daha yaratıcı olun. Bu e-postayı önemli hesaplar için de kullanmalısınız. Özellikle Amazon gibi finansal bilgileri eklenmiş olanlar. Bu şekilde, bilgisayar korsanları hub hesaplarınıza erişse bile önemli hizmetlere erişemezler.
Son olarak, hassas bilgileri çevrimiçi yayınlamaktan kaçının. Mat’ın bilgisayar korsanları adresini, bir sitenin sahibi hakkında bilgi veren bir WhoIs araması kullanarak buldular ve bu da Amazon hesabına girmelerine yardımcı oldu. Grant’in hücre sayısı büyük olasılıkla çevrimiçi bir yerde de mevcuttu. Her iki hub e-posta adresi de korsanlara bir başlangıç noktası sağlayan halka açıktı.
2FA'yı seviyorum ama bunun bazı insanların fikrini nasıl değiştireceğini anlayabiliyorum. Mat Honan ve Grant Blakeman hacklendikten sonra kendinizi korumak için hangi adımları atıyorsunuz?
Resim Kredileri: 1Password.