Двуфакторното удостоверяване е навсякъде. От момента, в който влезете в профила си в Gmail, до достъп до финансовите ви данни чрез PayPal, 2FA е там, за да ви поздрави като по -сигурен начин за влизане. Ще го намерите дори при настройка на PS5 или Xbox Series X. По дяволите , шансовете са, че вече сте свикнали днес.
Известна още като многофакторно удостоверяване, 2FA е допълнителен слой на сигурност - използван от почти всяка онлайн платформа - който спира много хакери на ниско ниво в техните следи, предпазвайки цялата ви ценна лична информация от проникване.
- Най-добрите оферти за телефони през 2022-2023 г.
- Разберете най-добрите смартфони през 2022-2023 г.
Уви, тактиките за хакерство се развиват завинаги и всичко, което е необходимо, е един хитър киберпрестъпник, за да намери малка дупка в бронята и да ограби онова, което някога е било непроницаемо за тях. Но не е нужно да сте хитри при декриптирането на кода, за да получите достъп до нищо неподозиращия акаунт на жертвата.
Всъщност, според Доклада за разследване на нарушения на данните от Verizon за 2022-2023 г. Verizon, 61% от 5 250 потвърдени нарушения на сигурността, които американският мрежов оператор анализира, включват откраднати идентификационни данни. Разбира се, целта на многофакторното удостоверяване е да попречи на злонамерени участници да получат достъп до акаунт, дори ако открият свръхсекретна парола.
Но подобно на това как Скар напусна Муфаса, за да падне на гибелта си в едно от най -големите предателства на всички времена, методът за сигурност също може да бъде основната причина за киберпрестъпната дейност. Истинският предател? Старият ви телефонен номер.
За по-добро усещане за това как нападателите могат лесно да използват двуфакторно удостоверяване срещу вас, най-добре е да знаете какъв е методът за онлайн сигурност и как работи. Ако това помага, помислете за стария си телефонен номер като Scar в цялото това парче.
Какво е двуфакторно удостоверяване?
Многофакторното удостоверяване (MFA) е метод за цифрово удостоверяване, използван за потвърждаване на самоличността на потребител, който да му позволи достъп до уебсайт или приложение чрез най-малко две доказателства. Двуфакторната автентификация, по-известна като 2FA, е най-често използваният метод.
За да може 2FA да работи, потребителят трябва да има поне две важни идентификационни данни, за да влезе в акаунт (с многофакторно обикновено включващо повече от три различни подробности). Това означава, че ако неоторизиран потребител получи парола, той все още ще се нуждае от достъп до имейл или телефонен номер, свързан с акаунта, където се изпраща специален код за допълнително ниво на защита.
Например банката ще изисква потребителско име и парола, за да може потребителят да получи достъп до акаунта си, но също така се нуждае от втора форма на удостоверяване, като например уникален код или разпознаване на пръстови отпечатъци, за да потвърди самоличността на потребителя. Този втори фактор може да се използва и преди извършване на транзакция.
Както е обяснено от софтуерната компания Ping Identity, необходимите идентификационни данни на 2FA са разделени на три различни категории: „това, което знаете“, „това, което имате“ и „това, което сте“. По отношение на „това, което знаете“ или вашите познания, това се свежда до вашите пароли, ПИН номер или отговор на защитен въпрос като „какво е моминското име на майка ви?“ (нещо, което сякаш никога не помня).
„Това, което си“ е може би най -сигурната категория, тъй като потвърждава вашата самоличност от физическа черта, уникална само за вас. Това обикновено се наблюдава на смартфони, като iPhone или Samsung Galaxy, използващи биометрично удостоверяване, като например пръстов отпечатък или сканиране на лицето, за да получите достъп.
Що се отнася до „това, което имате“, това се отнася до това, което притежавате, което може да бъде всичко - от интелигентно устройство до смарт карта. По принцип този метод означава получаване на изскачащо известие на телефона ви чрез SMS, което трябва да бъде потвърдено, преди да получите достъп до акаунт. За всички професионалисти, използващи Google Gmail за бизнес, ще се натъкнете на тази категория.
За съжаление, последната категория е причина за безпокойство, особено когато хвърлите рециклиране на телефонен номер в сместа.
Рециклиране на телефонен номер
Според Федералната комисия за комуникации (FCC), повече от 35 милиона номера в САЩ са прекъснати и отново стават достъпни, като ги преназначават на нов абонат всяка година. Разбира се, числата са безкрайни и всичко, но има само толкова 10 или 11-цифрени комбинации, които мобилната мрежа може да предложи на своите клиенти.
Службата за комуникации на Обединеното кралство (Ofcom), субектът, който присвоява мобилни номера на британските мрежови доставчици, заявява (чрез The Evening Standard), че има строга политика „използвайте го или го загубете“ за плащане в движение мобилни номера. Vodafone изключва и рециклира телефонен номер само след 90 дни без активност, докато O2 прави това след 12 месеца.
В САЩ мрежовите доставчици, включително Verizon и T-Mobile, позволяват на клиентите да променят и да избират наличните номера, показани на интерфейсите за онлайн смяна на номера чрез техния уебсайт или приложение. Налични са милиони рециклирани телефонни номера, като всеки ден се трупат все повече.
Рециклираните номера могат да бъдат вредни за тези, които първоначално са ги притежавали, тъй като много платформи, включително Gmail и Facebook, са свързани с мобилния ви номер за възстановяване на парола или, ето го и двуфакторното удостоверяване.
Как 2FA ви излага на риск
Проучване в университета в Принстън разкри колко лесно всеки може да получи рециклиран телефонен номер и да го използва за няколко често срещани кибератаки, включително поглъщане на акаунт и дори отказ на достъп до акаунт, като го държи като заложник и иска откуп в замяна на достъп.
Според проучването нападателят може да намери налични номера и да провери дали някой от тях е свързан с онлайн акаунти от предишни собственици. Като преглеждат своите онлайн профили и проверяват дали старият им номер е свързан, нападателите могат да закупят рециклирания номер (само $ 15 в T-Mobile) и да зададат отново паролата за акаунтите. Използвайки 2FA, те ще получат и въведат специалния код, изпратен чрез SMS.
Изследователите са тествали 259 номера, получени чрез двата мобилни оператора в САЩ, и са установили, че 171 от тях имат свързан акаунт в поне един от шестте често използвани уебсайта: Amazon, AOL, Facebook, Google, PayPal и Yahoo. Това се нарича „атака за обратно търсене“.
Изследователите откриха друг вариант на атаката, който позволи на злонамерени участници да отвлекат акаунти, без да се налага да задават нова парола. Използване на онлайн услугата за търсене на хора BeenVerified, хакер би могъл да търси имейл адрес, като използва рециклиран телефонен номер, след което да провери дали имейл адресите са участвали в нарушаване на данните с помощта на Have I Been Pwned ?. Ако го бяха направили, нападателят можеше да купи паролата на черен пазар на киберпрестъпници и да проникне в акаунт с 2FA, без да се налага да задава нова парола.
За да влошат нещата, нападателите също могат да вземат вашия акаунт като заложник. Гаден трик вижда как хакер получава номер, за да се регистрира в няколко онлайн услуги, които изискват телефонен номер. След като приключат, те преустановяват услугата, за да могат номерът да бъде рециклиран, за да започне да използва нов абонат. Когато новият потребител се опита да се регистрира за същите услуги, хакерът ще бъде уведомен чрез 2FA и ще им откаже начин да използват услугата. След това участникът в заплахата ще поиска жертвата да плати откуп, ако иска да използва тези онлайн услуги.
Използването на 2FA по този начин е жестоко, но това не пречи това да се случи. T-Mobile прегледа проучването през декември и сега напомня на абонатите да актуализират номера си за контакт в банковите сметки и профилите в социалните медии на страницата си за поддръжка за смяна на номера. Но това е всичко, което превозвачът може да направи, което означава, че тези, които не са информирани, ще бъдат отворени за атаки.
Алтернативни начини за използване на 2FA
Ако не друго, телефонните номера и 2FA не се свързват много добре. Добрата новина обаче е, че сега има повече опции, когато избирате да използвате 2FA, включително гореспоменатите биометрични методи или приложения за удостоверяване.
Тези опции обаче не винаги са налични и понякога онлайн услугите ви предлагат само две опции за 2FA: вашия телефонен номер или имейл адрес. Ако не искате хакерите да ровят из личната ви информация, най -добре е да изберете удостоверяване по имейл. Разбира се, има и такива, които не винаги използват имейлите си и с времето често могат да забравят паролите си. Без парола означава, че няма начин да получите код за удостоверяване.
За да разрешите това, най -добре е да намерите мениджър на пароли. LastPass преди години беше посещение благодарение на безплатната си услуга, но има и други претенденти, които си струва да се проверят.
„Но какво ще стане, ако вече използвам телефонния си номер за 2FA?“ Чувам да питаш. Ако обмисляте да промените телефонния си номер, не забравяйте да прекратите връзката на телефонния си номер с онлайн услугите, с които е свързан, преди да извършите превключването. И ако вече сте извършили превключването, заслужава си да актуализирате акаунтите си, за да се отървете от всички Белези (телефонни номера), които чакат да ви ударят с гръб, когато най -малко очаквате.
Outlook
Двуфакторното удостоверяване е навсякъде и е тук, за да остане. Всъщност Google скоро ще ви принуди да използвате 2FA при влизане, като технологичният гигант гарантира за „по -безопасно бъдеще без пароли“. Това не е ужасна идея, но има потенциал много хора да използват телефонните си номера като начин за идентифициране. Сигурни сме, че хакерите на ниско ниво харесват звука на това.
За да предотвратите нещо от това, след като 2FA започне да превзема всички онлайн платформи, всичко, което трябва да направите, е да прочетете заглавието на тази статия и да следвате нашите съвети.