Dvofaktorska avtentikacija je povsod. Od trenutka, ko se prijavite v svoj Gmail račun do dostopa do vaših finančnih podatkov prek PayPal -a, vas 2FA pozdravlja kot varnejši način prijave. Našli ga boste celo pri nastavitvi PS5 ali Xbox Series X. Heck verjetno ste danes že vajeni.
2FA, znana tudi kot večfaktorska avtentikacija, je dodatna plast varnosti - ki jo uporablja skoraj vsaka spletna platforma -, ki ustavi številne hekerje na nizki ravni in ščiti vse vaše dragocene zasebne podatke.
- Najboljše ponudbe telefonov v letih 2022-2023
- Odkrijte najboljše pametne telefone v letih 2022-2023
Žal se taktike hekanja nenehno razvijajo in potreben je le en zvit kibernetski kriminalec, da najde majhno luknjo v oklepu in izropi tiste, ki so jim bili nekoč nepregledni. Ni vam treba biti šifriran pri dešifriranju kode, da pridobite dostop do nič hudega slutečega računa žrtve.
Dejansko je v skladu s poročilom Verizon o preiskavah kršitev podatkov za obdobje 2022-2023–2022 Verizon 61% od 5.250 potrjenih kršitev varnosti, ki jih je analiziral ameriški operater omrežja, vključeval ukradene poverilnice. Seveda je namen večfaktorskega preverjanja pristnosti preprečiti zlonamernim akterjem dostop do računa, tudi če odkrijejo skrivno geslo.
Toda podobno, kot je Scar zapustil Mufaso, da bi padel v pogubo v eni največjih izdaj vseh časov, je lahko tudi varnostna metoda glavni vzrok kibernetskih kriminalnih dejavnosti. Pravi izdajalec? Vaša stara telefonska številka.
Za boljši občutek, kako lahko napadalci zlahka uporabijo dvostopenjsko preverjanje pristnosti proti vam, je najbolje vedeti, kakšna je spletna varnostna metoda in kako deluje. Če pomaga, si v tem delu omislite svojo staro telefonsko številko kot Scar.
Kaj je dvofaktorska avtentikacija?
Večfaktorsko preverjanje pristnosti (MFA) je metoda digitalnega preverjanja pristnosti, ki se uporablja za potrditev identitete uporabnika in mu omogoči dostop do spletnega mesta ali aplikacije z vsaj dvema dokazima. Dvofaktorska avtentikacija, bolj priljubljena kot 2FA, je najpogosteje uporabljena metoda.
Če želi 2FA delovati, mora imeti uporabnik za prijavo v račun vsaj dve pomembni poverilnici (pri čemer več faktorjev običajno vključuje več kot tri različne podrobnosti). To pomeni, da če nepooblaščeni uporabnik dobi geslo, bo še vedno potreboval dostop do e -pošte ali telefonske številke, povezane z računom, kamor je poslana posebna koda za dodatno raven zaščite.
Na primer, banka bo za dostop do svojega računa zahtevala uporabniško ime in geslo, potrebuje pa tudi drugo obliko preverjanja pristnosti, kot je edinstvena koda ali prepoznavanje prstnih odtisov, da potrdi identiteto uporabnika. Ta drugi dejavnik se lahko uporabi tudi pred izvedbo transakcije.
Kot je pojasnilo podjetje za programsko opremo Ping Identity, so potrebne poverilnice 2FA razdeljene v tri različne kategorije: »kaj veš«, »kaj imaš« in »kaj si«. Kar zadeva "kaj veste" ali vaše znanje, se to nanaša na vaša gesla, številko PIN ali odgovor na varnostno vprašanje, na primer "kako je dekliško ime vaše matere?" (česar se nikoli ne spomnim).
»Kar si« je nedvomno najvarnejša kategorija, saj potrjuje vašo identiteto po fizični lastnosti, značilni samo za vas. To običajno opazimo na pametnih telefonih, kot sta iPhone ali Samsung Galaxy, ki za dostop uporabljajo biometrično preverjanje pristnosti, na primer prstni odtis ali skeniranje obraza.
Kar zadeva »tisto, kar imate«, se to nanaša na to, kar imate, kar je lahko karkoli, od pametne naprave do pametne kartice. Na splošno ta metoda pomeni prejemanje pojavnega obvestila v telefonu prek SMS-a, ki ga je treba potrditi, preden pridobite dostop do računa. Za vse strokovnjake, ki uporabljajo Google Gmail za podjetja, boste naleteli na to kategorijo.
Na žalost je zadnja kategorija zaskrbljujoča, še posebej, če v mešanico vnesete recikliranje telefonskih številk.
Recikliranje telefonske številke
Po podatkih Zvezne komisije za komunikacije (FCC) je več kot 35 milijonov številk v ZDA prekinjenih in znova na voljo, tako da jih vsako leto dodelijo novemu naročniku. Seveda so številke neskončne in vse, vendar obstaja le toliko 10 ali 11-mestnih kombinacij, ki jih mobilno omrežje lahko ponudi svojim strankam.
Urad za komunikacije Združenega kraljestva (Ofcom), subjekt, ki mobilnim številkam dodeli ponudnike omrežij v Združenem kraljestvu, (prek The Evening Standarda) navaja, da ima strogo politiko »uporabi ali izgubi« za plačilo po porabi mobilnih številk. Vodafone prekine povezavo in reciklira telefonsko številko po samo 90 dneh brez aktivnosti, O2 pa po 12 mesecih.
V ZDA ponudniki omrežij, vključno z Verizonom in T-Mobileom, omogočajo strankam spreminjanje in izbiro razpoložljivih številk, prikazanih na spletnih vmesnikih za spreminjanje številk, prek njihovega spletnega mesta ali aplikacije. Na voljo je na milijone recikliranih telefonskih številk, ki jih je vsak dan več.
Reciklirane številke so lahko škodljive za tiste, ki so jih imeli v lasti, saj so številne platforme, vključno z Gmailom in Facebookom, povezane z vašo številko mobilnega telefona za obnovitev gesla ali tukaj je dvostopenjsko preverjanje pristnosti.
Kako vas 2FA ogroža
Študija na univerzi Princeton je odkrila, kako enostavno lahko vsakdo pridobi reciklirano telefonsko številko in jo uporabi za več običajnih kibernetskih napadov, vključno s prevzemi računov in celo onemogoči dostop do računa, tako da ga drži za talca in prosi za odkupnino v zameno za dostop.
V skladu s študijo lahko napadalec poišče razpoložljive številke in preveri, ali je katera od njih povezana s spletnimi računi prejšnjih lastnikov. Z ogledom njihovih spletnih profilov in preverjanjem, ali je njihova stara številka povezana, lahko napadalci kupijo reciklirano številko (samo 15 USD pri T-Mobileu) in ponastavijo geslo na računih. Z uporabo 2FA bodo nato prejeli in vnesli posebno kodo, poslano po SMS -u.
Raziskovalci so preizkusili 259 številk, ki so jih pridobili pri dveh ameriških mobilnih operaterjih, in ugotovili, da jih ima 171 povezan račun na vsaj enem od šestih pogosto uporabljanih spletnih mest: Amazon, AOL, Facebook, Google, PayPal in Yahoo. To se imenuje "napad povratnega iskanja".
Raziskovalci so odkrili še eno različico napada, ki je zlonamernim igralcem omogočila ugrabiti račune, ne da bi morali ponastaviti geslo. Uporaba spletne storitve iskanja ljudi BeenVerified, heker bi lahko poiskal e -poštni naslov z uporabo reciklirane telefonske številke, nato pa preveril, ali so bili e -poštni naslovi vpleteni v kršitve podatkov z uporabo Ali sem bil pwned ?. Če bi jih imeli, bi lahko napadalec kupil geslo na črnem trgu kibernetskih kriminalcev in vdrl v račun, ki podpira 2FA, ne da bi mu bilo treba ponastaviti geslo.
Da bodo stvari še slabše, lahko napadalci vaš račun vzamejo za talca. Neprijeten trik je videti, da heker dobi številko za prijavo v več spletnih storitev, ki zahtevajo telefonsko številko. Ko končajo, prekinejo storitev, tako da se lahko številka reciklira, da jo lahko začne uporabljati nov naročnik. Ko se novi uporabnik poskuša prijaviti za iste storitve, bo heker prek 2FA obveščen in mu zavrnil način uporabe storitve. Akter grožnje bo nato od žrtve zahteval plačilo odkupnine, če želi uporabljati te spletne storitve.
Uporaba 2FA na ta način je grozljiva, vendar to ne preprečuje. Družba T-Mobile je raziskavo pregledala decembra in zdaj naročnike opozarja, naj na svoji podporni strani za spremembo številk posodobijo svojo kontaktno številko na bančnih računih in profilih v družabnih medijih. Toda to je vse, kar ima prevoznik moč narediti, kar pomeni, da bodo tisti, ki niso obveščeni, odprti za napade.
Nadomestni načini uporabe 2FA
Če že karkoli, se telefonske številke in 2FA ne gelirajo dobro. Dobra novica pa je, da je pri izbiri uporabe 2FA na voljo več možnosti, vključno z omenjenimi biometričnimi metodami ali aplikacijami za preverjanje pristnosti.
Vendar te možnosti niso vedno na voljo, včasih pa vam spletne storitve ponujajo le dve možnosti za 2FA: vašo telefonsko številko ali vaš e -poštni naslov. Če ne želite, da hekerji brskajo po vaših zasebnih podatkih, je najbolje, da se odločite za preverjanje pristnosti po e -pošti. Seveda obstajajo tisti, ki ne uporabljajo vedno svojih e -poštnih sporočil in sčasoma lahko pogosto pozabijo gesla. Brez gesla pomeni, da ni mogoče pridobiti kode za preverjanje pristnosti.
Če želite to rešiti, je najbolje poiskati upravitelja gesel. LastPass je bil zaradi svoje brezplačne storitve že leta priljubljen, vendar obstajajo drugi kandidati, ki jih je vredno preveriti.
"Kaj pa, če že uporabljam svojo telefonsko številko za 2FA?" Slišim, da sprašujete. Če razmišljate o spremembi telefonske številke, preklopite telefonsko številko iz spletnih storitev, s katerimi je povezana. In če ste že zamenjali račun, je vredno posvetiti svoj čas posodobitvi računov, da se znebite vseh brazgotin (telefonskih številk), ki čakajo, da vas bodo udarile v hrbet, ko najmanj pričakujete.
Outlook
Dvofaktorska avtentikacija je povsod in tu je, da ostane. Pravzaprav vas bo Google kmalu prisilil, da pri prijavi uporabite 2FA, tehnološki velikan pa jamči za "varnejšo prihodnost brez gesel". To ni grozna ideja, vendar obstaja možnost, da mnogi ljudje uporabijo svoje telefonske številke kot način identifikacije. Prepričani smo, da je hekerjem na nizki ravni všeč ta zvok.
Da se to ne bi zgodilo, ko 2FA začne prevzemati vse spletne platforme, morate le prebrati naslov tega članka in slediti našim nasvetom.