Propaganda
A autenticação de dois fatores (2FA) é um dos avanços mais divulgados na segurança online. No início desta semana, surgiram notícias de que haviam sido hackeados.
Grant Blakeman - um designer e proprietário da conta do Instagram @gb - acordou ao descobrir que sua conta do Gmail havia comprometido e hackers haviam roubado sua conta no Instagram. Isso apesar de ter o 2FA ativado.
2FA: a versão curta
O 2FA é uma estratégia para tornar as contas online mais difíceis de invadir. Minha colega Tina escreveu um ótimo artigo sobre o que é 2FA e por que você deve usá-lo O que é autenticação de dois fatores e por que você deve usá-laA autenticação de dois fatores (2FA) é um método de segurança que requer duas maneiras diferentes de provar sua identidade. É comumente usado na vida cotidiana. Por exemplo, pagar com cartão de crédito não exige apenas o cartão, ... consulte Mais informação ; Se você quiser uma introdução mais detalhada, verifique.
Em uma configuração típica de autenticação de um fator (1FA), você usa apenas uma senha. Isso o torna incrivelmente vulnerável; se alguém tiver sua senha, poderá fazer login como você. Infelizmente, essa é a configuração que a maioria dos sites usa.
O 2FA adiciona um fator adicional: normalmente, um código único enviado ao telefone quando você faz login na sua conta a partir de um novo dispositivo ou local. Alguém tentando invadir sua conta precisa não apenas roubar sua senha, mas também, em teoria, ter acesso ao seu telefone quando tentarem fazer login. Mais serviços, como Apple e Google, estão implementando o 2FA Bloqueie esses serviços agora com autenticação de dois fatoresA autenticação de dois fatores é a maneira inteligente de proteger suas contas online. Vamos dar uma olhada em alguns dos serviços que você pode bloquear com melhor segurança. consulte Mais informação .
História de Grant
A história de Grant é muito semelhante à do escritor da Wired, Mat Honan. Mat teve toda a sua vida digital destruída por hackers que queriam ter acesso a sua conta do Twitter: ele tem o nome de usuário @mat. Grant, da mesma forma, tem as duas letras @gb Instagram account o que fez dele um alvo.
No seu Conta Ello Grant descreve como, desde que ele teve sua conta do Instagram, ele lidou com e-mails não solicitados para redefinição de senha algumas vezes por semana. Essa é uma grande bandeira vermelha que alguém está tentando invadir sua conta. Ocasionalmente, ele recebia um código 2FA para a conta do Gmail anexada à sua conta do Instagram.
Uma manhã as coisas estavam diferentes. Ele acordou com um texto dizendo que sua senha da Conta do Google havia sido alterada. Felizmente, ele conseguiu recuperar o acesso à sua conta do Gmail, mas os hackers agiram rapidamente e excluíram sua conta do Instagram, roubando o identificador @gb por si mesmos.
O que aconteceu com Grant é particularmente preocupante porque ocorreu apesar de ele usar o 2FA.
Hubs e pontos fracos
Os hackers de Mat e Grant contavam com hackers que usavam pontos fracos em outros serviços para acessar uma conta principal do hub: a conta do Gmail. Com isso, os hackers conseguiram redefinir a senha padrão em qualquer conta associada a esse endereço de e-mail. Se um hacker obtiver acesso ao meu Gmail, ele poderá acessar minha conta aqui no MakeUseOf, minha conta Steam e tudo mais.
Mat has escreveu um excelente e detalhado relato de como ele foi hackeado. Explica como os hackers obtiveram acesso usando pontos fracos na segurança da Amazon para assumir sua conta, usaram as informações eles ganharam de lá para acessar sua conta da Apple e, em seguida, usaram isso para acessar sua conta do Gmail - e toda a sua conta digital vida.
A situação de Grant era diferente. O truque de Mat não funcionaria se ele tivesse o 2FA ativado em sua conta do Gmail. No caso de Grant, eles contornaram isso. As especificidades do que aconteceu com Grant não são tão claras, mas alguns detalhes podem ser inferidos. Escrevendo em sua conta Ello, Grant diz:
Então, até onde eu sei, o ataque realmente começou com minha operadora de telefonia celular, o que de alguma forma permitiu algum nível de acesso ou social engenharia na minha conta do Google, que permitiu aos hackers receber um e-mail de redefinição de senha do Instagram, dando a eles o controle de a conta.
Os hackers ativaram o encaminhamento de chamadas em sua conta de telefone celular. Se isso permitiu que o código 2FA lhes fosse enviado ou se eles usaram outro método para contornar isso, não está claro. De qualquer forma, comprometendo a conta de telefone celular de Grant, eles obtiveram acesso ao Gmail e ao Instagram.
Evitando esta situação você mesmo
Em primeiro lugar, o principal argumento para isso não é que o 2FA está quebrado e não vale a pena configurá-lo. É uma excelente configuração de segurança que você deve usar; simplesmente não é à prova de balas. Em vez de usar seu número de telefone para autenticação, você pode Torne-o mais seguro usando Authy ou Google Authenticator A verificação em duas etapas pode ser menos irritante? Quatro Hacks Secretos Garantidos para Melhorar a SegurançaDeseja segurança da conta à prova de balas? Eu sugiro ativar a chamada autenticação de "dois fatores". consulte Mais informação . Se os hackers de Grant conseguissem redirecionar o texto de verificação, isso o teria interrompido.
Segundo, considere por que as pessoas gostariam de invadir você. Se você possui nomes de usuário ou nomes de domínio valiosos, corre um risco maior. Da mesma forma, se você é uma celebridade com maior probabilidade de ser hackeado 4 maneiras de evitar ser hackeado como uma celebridadeOs nus vazados de celebridades em 2014 foram manchetes em todo o mundo. Verifique se isso não acontece com você com essas dicas. consulte Mais informação . Se você não estiver em nenhuma dessas situações, é mais provável que seja invadido por alguém conhecido ou em um hack oportunista depois que sua senha vazar online. Nos dois casos, a melhor defesa são senhas seguras e exclusivas para cada serviço individual. Eu pessoalmente uso 1Password qual é uma maneira útil de proteger suas senhas Deixe o 1Password for Mac gerenciar suas senhas e dados segurosApesar do novo recurso Keychain do iCloud no OS X Mavericks, ainda prefiro o poder de gerenciar minhas senhas no clássico e popular 1Password do AgileBits, agora em sua quarta versão. consulte Mais informação e está disponível em todas as principais plataformas.
Terceiro, minimize o impacto das contas de hub. As contas de hub facilitam a vida para você, mas também para hackers. Configure uma conta de email secreta e use-a como a conta de redefinição de senha para seus importantes serviços online. Mat havia feito isso, mas os atacantes conseguiram ver a primeira e a última letra; eles viram m••••[email protected]. Seja um pouco mais imaginativo. Você também deve usar este email para contas importantes. Especialmente aqueles que têm informações financeiras anexadas como a Amazon. Dessa forma, mesmo que os hackers tenham acesso às suas contas de hub, eles não terão acesso a serviços importantes.
Por fim, evite postar informações confidenciais online. Os hackers de Mat encontraram seu endereço usando uma pesquisa WhoIs - que fornece informações sobre quem é o proprietário de um site - que os ajudou a acessar sua conta na Amazon. O número de celular de Grant provavelmente também estava disponível em algum lugar on-line. Ambos os endereços de e-mail do hub estavam disponíveis ao público, o que deu aos hackers um ponto de partida.
Eu amo o 2FA, mas posso entender como isso mudaria a opinião de algumas pessoas. Que medidas você está tomando para se proteger após os ataques de Mat Honan e Grant Blakeman?
Créditos da imagem: 1Password.
