Advertentie
Twee-factor authenticatie (2FA) is een van de meest aangeprezen ontwikkelingen in online beveiliging. Eerder deze week, nieuws brak uit dat het gehackt was.
Grant Blakeman - een ontwerper en eigenaar van het @ gb Instagram-account - werd wakker en ontdekte dat zijn Gmail-account was gecompromitteerd en dat hackers zijn Instagram-handvat hadden gestolen. Dit was ondanks het feit dat 2FA is ingeschakeld.
2FA: de korte versie
2FA is een strategie om online accounts moeilijker te hacken te maken. Mijn collega Tina heeft er een geweldig artikel over geschreven wat 2FA is en waarom u het zou moeten gebruiken Wat is tweefactorauthenticatie en waarom u het zou moeten gebruikenTwo-factor authentication (2FA) is een beveiligingsmethode die twee verschillende manieren vereist om uw identiteit te bewijzen. Het wordt vaak gebruikt in het dagelijks leven. Betalen met een creditcard vereist bijvoorbeeld niet alleen de kaart, ... Lees verder ; als u een meer gedetailleerde introductie wilt, moet u dit bekijken.
In een standaard authenticatie-instelling met één factor (1FA) gebruikt u alleen een wachtwoord. Dit maakt het ongelooflijk kwetsbaar; als iemand uw wachtwoord heeft, kunnen ze inloggen als u. Helaas is dit de opstelling die de meeste websites gebruiken.
2FA voegt een extra factor toe: meestal een eenmalige code die naar uw telefoon wordt verzonden wanneer u zich aanmeldt bij uw account vanaf een nieuw apparaat of een nieuwe locatie. Iemand die in uw account probeert in te breken, moet niet alleen uw wachtwoord stelen, maar in theorie ook toegang hebben tot uw telefoon wanneer deze probeert in te loggen. Meer services, zoals Apple en Google, implementeren 2FA Vergrendel deze services nu met tweefactorauthenticatieTweefactorauthenticatie is de slimme manier om uw online accounts te beschermen. Laten we eens kijken naar enkele van de services die u kunt vergrendelen met betere beveiliging. Lees verder .
Grant's verhaal
Het verhaal van Grant lijkt erg op dat van Wired-schrijver Mat Honan. Mat had zijn hele digitale leven verwoest door hackers die toegang wilden krijgen zijn Twitter-account: hij heeft de gebruikersnaam @mat. Grant heeft op dezelfde manier de tweeletter @ nl Instagram-account waardoor hij een doelwit was.
Op zijn Ello-account Grant beschrijft hoe hij, zolang hij zijn Instagram-account had, een paar keer per week te maken heeft met ongevraagde wachtwoordreset-e-mails. Dat is een grote rode vlag die iemand in je account probeert te hacken. Af en toe kreeg hij een 2FA-code voor het Gmail-account dat aan zijn Instagram-account was gekoppeld.
Op een ochtend waren de dingen anders. Hij werd wakker met een sms die hem vertelde dat zijn Google-accountwachtwoord was gewijzigd. Gelukkig kon hij weer toegang krijgen tot zijn Gmail-account, maar de hackers hadden snel gehandeld en zijn Instagram-account verwijderd en de @gb-greep voor zichzelf gestolen.
Wat er met Grant is gebeurd, is met name zorgwekkend omdat het gebeurde ondanks dat hij 2FA gebruikte.
Hubs en zwakke punten
Zowel de hacks van Mat als Grant vertrouwden erop dat hackers zwakke punten in andere services gebruikten om in een belangrijk hub-account te komen: hun Gmail-account. Hieruit konden de hackers een standaard wachtwoord opnieuw instellen op elk account dat aan dat e-mailadres was gekoppeld. Als een hacker toegang heeft gekregen tot mijn Gmail, kunnen ze hier toegang krijgen tot mijn account op MakeUseOf, mijn Steam-account en al het andere.
Mat heeft schreef een uitstekend, gedetailleerd verslag van precies hoe hij was gehackt. Het verklaart hoe de hackers toegang hebben verkregen met behulp van zwakke punten in de beveiliging van Amazon om zijn account over te nemen, de informatie gebruikte ze kregen van daar toegang tot zijn Apple-account en gebruikten dat vervolgens om in zijn Gmail-account te komen - en zijn hele digitale account leven.
Grant's situatie was anders. Mat's hack zou niet hebben gewerkt als hij 2FA had ingeschakeld op zijn Gmail-account. In het geval van Grant kwamen ze er omheen. De details van wat er met Grant is gebeurd, zijn niet zo duidelijk, maar sommige details kunnen worden afgeleid. Grant schrijft op zijn Ello-account en zegt:
Dus, voor zover ik kan zien, begon de aanval eigenlijk bij mijn mobiele telefoonprovider, die op de een of andere manier toegang of sociale toegang bood engineering in mijn Google-account, waardoor de hackers vervolgens een wachtwoord-reset-e-mail van Instagram konden ontvangen, waardoor ze controle over hadden het account.
De hackers maakten doorschakelen mogelijk op zijn mobiele telefoonaccount. Of hierdoor de 2FA-code naar hen kon worden verzonden of dat ze een andere methode gebruikten om het te omzeilen, is onduidelijk. Hoe dan ook, door Grant's mobiele telefoonaccount te compromitteren, kregen ze toegang tot zijn Gmail en vervolgens tot zijn Instagram.
Zelf deze situatie vermijden
Ten eerste is de belangrijkste reden hiervoor niet dat 2FA kapot is en het instellen niet waard is. Het is een uitstekende beveiligingsinstelling die u zou moeten gebruiken; het is gewoon niet kogelvrij. In plaats van uw telefoonnummer te gebruiken voor authenticatie, kunt u dat maak het veiliger met behulp van Authy of Google Authenticator Kan tweestapsverificatie minder irritant zijn? Vier geheime hacks gegarandeerd om de beveiliging te verbeterenWilt u kogelvrije accountbeveiliging? Ik raad ten zeerste aan om de zogenaamde 'tweefactorauthenticatie' in te schakelen. Lees verder . Als de hackers van Grant erin geslaagd waren de verificatietekst om te leiden, zou dit het hebben gestopt.
Ten tweede, overweeg waarom mensen je zouden willen hacken. Als u waardevolle gebruikersnamen of domeinnamen bezit, loopt u een verhoogd risico. Evenzo als je bent een beroemdheid, je wordt eerder gehackt 4 manieren om te voorkomen dat je als een beroemdheid wordt gehacktGelekte beroemdheden naakten in 2014 krantenkoppen over de hele wereld. Zorg ervoor dat het u niet overkomt met deze tips. Lees verder . Als u zich niet in een van deze situaties bevindt, is de kans groter dat u wordt gehackt door iemand die u kent of in een opportunistische hack nadat uw wachtwoord online is gelekt. In beide gevallen is de beste verdediging veilige, unieke wachtwoorden voor elke afzonderlijke service. Ik gebruik persoonlijk 1Password welke is een handige manier om uw wachtwoorden te beveiligen Laat 1Password voor Mac uw wachtwoorden en beveiligde gegevens beherenOndanks de nieuwe functie iCloud-sleutelhanger in OS X Mavericks, geef ik nog steeds de voorkeur aan het beheer van mijn wachtwoorden in het klassieke en populaire 1Password van AgileBits, nu in de 4e versie. Lees verder en is beschikbaar op elk belangrijk platform.
Ten derde, minimaliseer de impact van hub-accounts. Hub-accounts maken het u gemakkelijk, maar ook voor hackers. Stel een geheim e-mailaccount in en gebruik dat als wachtwoordresetaccount voor uw belangrijke online services. Mat had dit gedaan, maar de aanvallers konden de eerste en laatste letters ervan bekijken; ze zagen m••••[email protected]. Wees een beetje fantasierijker. Gebruik deze e-mail ook voor belangrijke accounts. Vooral degenen met financiële informatie zoals Amazon. Op die manier krijgen hackers geen toegang tot belangrijke services, zelfs als ze toegang krijgen tot uw hub-accounts.
Vermijd ten slotte het plaatsen van gevoelige informatie online. De hackers van Mat vonden zijn adres met behulp van een WhoIs-zoekopdracht - die je informatie geeft over wie een site bezit - waardoor ze zijn Amazon-account konden bereiken. Het mobiele nummer van Grant was waarschijnlijk ook ergens online beschikbaar. Beide e-mailadressen van hun hub waren openbaar beschikbaar, wat hackers een startpunt gaf.
Ik hou van 2FA, maar ik kan begrijpen hoe dit de mening van sommige mensen zou veranderen. Welke stappen neemt u om uzelf te beschermen na de hacks van Mat Honan en Grant Blakeman?
Afbeeldingscredits: 1Password.
