Dviejų veiksnių autentifikavimas yra visur. Nuo to momento, kai prisijungiate prie „Gmail“ paskyros ir pasiekiate savo finansinę informaciją per „PayPal“, „2FA“ yra pasveikinti jus kaip saugesnis prisijungimo būdas. Jūs netgi rasite tai nustatydami PS5 arba „Xbox Series X“. , didelė tikimybė, kad šiandien jau pripratote.
Taip pat žinomas kaip kelių veiksnių autentifikavimas, 2FA yra papildomas saugumo sluoksnis, kurį naudoja praktiškai kiekviena internetinė platforma, kuris sustabdo daugelį žemo lygio įsilaužėlių jų keliuose, apsaugodamas nuo jūsų vertingos asmeninės informacijos pažeidimo.
- Geriausi telefonų pasiūlymai 2022-2023–2022 m
- Sužinokite geriausius išmaniuosius telefonus 2022-2023–2022 m
Deja, įsilaužimo taktika amžinai vystosi, ir tereikia vieno klastingo kibernetinio nusikaltėlio, kad surastų mažą skylę šarvuose ir apiplėštų tai, kas kažkada buvo neįveikiama jų širdžiai. Tačiau nereikia iššifruoti kodo, kad galėtumėte pasiekti nieko neįtariančios aukos paskyrą.
Iš tiesų, remiantis 2022-2023–2022 m. „Verizon“ duomenų pažeidimo tyrimų ataskaita, 61% iš 5250 patvirtintų saugumo pažeidimų, kuriuos analizavo Amerikos tinklo operatorius, buvo pavogti. Žinoma, kelių veiksnių autentifikavimo tikslas yra užkirsti kelią kenkėjiškiems dalyviams pasiekti paskyrą, net jei jie atranda itin slaptą slaptažodį.
Tačiau panašiai kaip tai, kaip Scar paliko „Mufasa“ pasmerkti vienai didžiausių visų laikų išdavysčių, saugumo metodas taip pat gali būti pagrindinė kibernetinės nusikalstamos veiklos priežastis. Tikrasis išdavikas? Jūsų senas telefono numeris.
Kad geriau suprastumėte, kaip užpuolikai gali lengvai naudoti dviejų veiksnių autentifikavimą prieš jus, geriausia žinoti, kas yra internetinis saugos metodas ir kaip jis veikia. Jei tai padeda, pagalvokite apie savo seną telefono numerį kaip „Randas“.
Kas yra dviejų veiksnių autentifikavimas?
Kelių veiksnių autentifikavimas (MFA) yra skaitmeninis autentifikavimo metodas, naudojamas patvirtinti vartotojo tapatybę, kad būtų galima pasiekti bent vieną iš dviejų įrodymų. Dviejų veiksnių autentifikavimas, labiau žinomas kaip 2FA, yra dažniausiai naudojamas metodas.
Kad 2FA veiktų, vartotojas turi turėti bent du svarbius prisijungimo duomenis, kad galėtų prisijungti prie paskyros (daugiakryptis paprastai apima daugiau nei tris skirtingus duomenis). Tai reiškia, kad jei neleistinas vartotojas gauna rankas, jiems vis tiek reikės prieigos prie el. Pašto adreso ar telefono numerio, susieto su paskyra, kur siunčiamas specialus kodas, kad būtų užtikrinta papildoma apsauga.
Pavyzdžiui, bankui reikės vartotojo vardo ir slaptažodžio, kad vartotojas galėtų pasiekti savo sąskaitą, tačiau jam taip pat reikalinga antra autentifikavimo forma, pvz., Unikalus kodas arba pirštų atspaudų atpažinimas, kad patvirtintų vartotojo tapatybę. Šis antrasis veiksnys taip pat gali būti naudojamas prieš atliekant sandorį.
Kaip paaiškino programinės įrangos kompanija „Ping Identity“, reikalingi 2FA įgaliojimai yra suskirstyti į tris skirtingas kategorijas: „ką žinai“, „ką turi“ ir „koks esi“. Kalbant apie „tai, ką žinote“ ar savo žinias, tai priklauso nuo jūsų slaptažodžių, PIN kodo ar atsakymo į saugumo klausimą, pvz., „Kokia jūsų motinos mergautinė pavardė?“ (ko, regis, niekada neprisimenu).
„Kas tu esi“ yra neabejotinai saugiausia kategorija, nes tai patvirtina tavo tapatybę iš tik tau būdingo fizinio bruožo. Paprastai tai matoma išmaniuosiuose telefonuose, pvz., „IPhone“ ar „Samsung Galaxy“ telefone, norint gauti prieigą naudojant biometrinį autentifikavimą, pvz., Piršto atspaudą ar veido nuskaitymą.
Kalbant apie „tai, ką turite“, tai reiškia tai, ką turite, ir tai gali būti bet kas - nuo išmaniojo įrenginio iki išmaniosios kortelės. Paprastai šis metodas reiškia, kad į telefoną SMS žinute gaunamas iššokantis pranešimas, kurį reikia patvirtinti prieš gaunant prieigą prie paskyros. Visi profesionalai, naudojantys „Google Gmail“ verslui, susidursite su šia kategorija.
Deja, ši paskutinė kategorija kelia susirūpinimą, ypač kai į mišinį įtraukiate telefono numerio perdirbimą.
Telefono numerio perdirbimas
Federalinės ryšių komisijos (FCC) duomenimis, daugiau nei 35 milijonai numerių JAV yra atjungiami ir vėl pasiekiami, kiekvienais metais juos priskiriant naujam abonentui. Žinoma, skaičiai yra begaliniai ir viskas, tačiau yra tik tiek 10 ar 11 skaitmenų kombinacijų, kurias mobilusis tinklas gali pasiūlyti savo klientams.
JK Ryšių biuras (Ofcom), subjektas, kuris JK tinklo paslaugų teikėjams priskiria mobiliojo ryšio numerius, teigia (per „The Evening Standard“), kad taiko griežtą „naudokis arba prarask“ politiką, kai mokama einant mobiliųjų telefonų numeriai. „Vodafone“ atjungia ir perdirba telefono numerį vos po 90 dienų neveiklumo, o „O2“ tai daro po 12 mėnesių.
JAV tinklo teikėjai, įskaitant „Verizon“ ir „T-Mobile“, leidžia klientams keisti ir pasirinkti galimus numerius, rodomus internetinėse numerių keitimo sąsajose per savo svetainę ar programą. Yra milijonai perdirbtų telefonų numerių, kurių kasdien kaupiasi daugiau.
Perdirbti numeriai gali būti kenksmingi tiems, kuriems jie iš pradžių priklausė, nes daugelis platformų, įskaitant „Gmail“ ir „Facebook“, yra susietos su jūsų mobiliojo telefono numeriu, kad būtų atkurtas slaptažodis arba, čia yra dviejų veiksnių autentifikavimas.
Kaip 2FA kelia pavojų
Prinstono universitete atliktas tyrimas atskleidė, kaip lengvai kiekvienas gali gauti perdirbtą telefono numerį ir jį naudoti kelioms įprastoms kibernetinėms atakoms, įskaitant sąskaitų perėmimą ir net atsisakymą patekti į paskyrą, laikant ją įkaite ir prašant išpirkos mainais už prieigą.
Remiantis tyrimu, užpuolikas gali rasti turimus numerius ir patikrinti, ar kuris nors iš jų yra susietas su ankstesnių savininkų internetinėmis paskyromis. Peržiūrėję savo internetinius profilius ir patikrinę, ar jų senasis numeris yra susietas, užpuolikai gali nusipirkti perdirbtą numerį (tik 15 USD „T-Mobile“) ir iš naujo nustatyti paskyrų slaptažodį. Naudodamiesi 2FA, jie gaus ir įves specialų kodą, išsiųstą SMS žinute.
Tyrėjai ištyrė 259 numerius, gautus per du JAV mobiliojo ryšio operatorius, ir nustatė, kad 171 iš jų turėjo susietą paskyrą bent vienoje iš šešių dažniausiai naudojamų svetainių: „Amazon“, AOL, „Facebook“, „Google“, „PayPal“ ir „Yahoo“. Tai vadinama „atvirkštinio paieškos ataka“.
Mokslininkai aptiko dar vieną atakos variantą, leidusį kenkėjiškiems veikėjams užgrobti paskyras, nepakeitus slaptažodžio. Naudojant internetinę žmonių paieškos paslaugą „BeenVerified“, įsilaužėlis galėtų ieškoti el. pašto adreso naudodami perdirbtą telefono numerį, tada patikrinkite, ar el. pašto adresai nebuvo įtraukti į duomenų pažeidimus naudojant „Ar aš jau buvau užregistruotas?“. Jei būtų, užpuolikas galėtų nusipirkti slaptažodį elektroninėje nusikalstamoje juodojoje rinkoje ir įsilaužti į 2FA palaikančią paskyrą, nereikalaudamas iš naujo nustatyti slaptažodžio.
Dar blogiau, užpuolikai taip pat gali paimti jūsų paskyrą įkaitu. Bjaurus triukas mato, kaip įsilaužėlis gauna numerį prisiregistruoti prie kelių internetinių paslaugų, kurioms reikalingas telefono numeris. Baigę, jie nutraukia paslaugą, kad numeris galėtų būti perdirbtas, kad naujas abonentas galėtų pradėti naudotis. Kai naujas vartotojas bandys prisiregistruoti prie tų pačių paslaugų, įsilaužėlis bus informuotas per 2FA ir neleis jiems naudotis šia paslauga. Tada grėsmių veikėjas paprašys aukos sumokėti išpirką, jei ji norės naudotis šiomis internetinėmis paslaugomis.
Tokiu būdu naudoti 2FA yra žiauru, tačiau tai netrukdo tai padaryti. „T-Mobile“ peržiūrėjo tyrimą dar gruodį ir dabar primena abonentams atnaujinti savo kontaktinį numerį banko sąskaitose ir socialinės žiniasklaidos profiliuose savo numerio keitimo palaikymo puslapyje. Tačiau tai yra viskas, ką vežėjas turi padaryti, o tai reiškia, kad tie, kurie nėra informuoti, bus atviri atakoms.
Alternatyvūs 2FA naudojimo būdai
Jei kas, telefono numeriai ir 2FA nėra labai geli. Tačiau gera žinia yra ta, kad dabar yra daugiau galimybių pasirinkti 2FA, įskaitant minėtus biometrinius metodus ar autentifikavimo programas.
Tačiau šios parinktys ne visada pasiekiamos, o kartais internetinės paslaugos suteikia tik dvi 2FA parinktis: jūsų telefono numerį arba el. Pašto adresą. Jei nenorite, kad įsilaužėliai ieškotų jūsų asmeninės informacijos, geriausia pasirinkti el. Pašto autentifikavimą. Žinoma, yra tokių, kurie ne visada naudojasi savo el. Laiškais, o su laiku dažnai gali pamiršti savo slaptažodžius. Nėra slaptažodžio, tai reiškia, kad nėra galimybės gauti autentifikavimo kodo.
Norėdami tai išspręsti, geriausia rasti slaptažodžių tvarkyklę. „LastPass“ daugelį metų buvo populiarus dėl nemokamos paslaugos, tačiau yra ir kitų pretendentų, kuriuos verta patikrinti.
"O kas, jei jau naudoju savo telefono numerį 2FA?" Girdžiu, kaip klausiate. Jei ketinate pakeisti savo telefono numerį, prieš keisdami būtinai atsiekite savo telefono numerį nuo internetinių paslaugų, prie kurių jis prijungtas. Ir jei jau pakeitėte, verta skirti laiko atnaujinant savo paskyras, kad atsikratytumėte randų (telefono numerių), laukiančių jūsų, kai mažiausiai to tikitės.
„Outlook“
Dviejų veiksnių autentifikavimas yra visur, ir jis lieka. Tiesą sakant, „Google“ netrukus privers prisijungiant naudoti 2FA, o technologijų milžinas garantuoja „saugesnę ateitį be slaptažodžių“. Tai nėra baisi idėja, tačiau daugelis žmonių gali naudoti savo telefono numerius kaip būdą būti identifikuoti. Esame tikri, kad žemo lygio įsilaužėliams tai patinka.
Kad taip neatsitiktų, kai 2FA pradės perimti visas internetines platformas, jums tereikia perskaityti šio straipsnio pavadinimą ir laikytis mūsų patarimų.