Two-Factor Authentication Hacked: Why You Should not Panic

Advertentie

Advertentie
Advertentie

Twee-factor authenticatie (2FA) is een van de meest geprezen stappen in online beveiliging. Eerder deze week brak nieuws dat het gehackt was.

Grant Blakeman - een ontwerper en eigenaar van het @gb Instagram-account - werd wakker om te ontdekken dat zijn Gmail-account was gehackt en dat hackers zijn Instagram-account hadden gestolen. Dit was ondanks het feit dat 2FA was ingeschakeld.

2FA: de korte versie

2FA is een strategie om online accounts moeilijker te hacken. Mijn collega Tina heeft een geweldig artikel geschreven over wat 2FA is en waarom u het zou moeten gebruiken Wat is twee-factorenauthenticatie, en waarom u het zou moeten gebruiken Wat is twee-factorenauthenticatie, en waarom u het zou moeten gebruiken Twee-factor authenticatie (2FA ) is een beveiligingsmethode die twee verschillende manieren vereist om uw identiteit te bewijzen. Het wordt vaak gebruikt in het dagelijks leven. Bijvoorbeeld betalen met een creditcard vereist niet alleen de kaart, ... Lees meer; als je een meer gedetailleerde introductie wilt, moet je het eens proberen.

In een typische één-factor authenticatie setup (1FA) gebruikt u alleen een wachtwoord. Dit maakt het ongelooflijk kwetsbaar; als iemand je wachtwoord heeft, kunnen ze inloggen als jij. Helaas is dit de setup die de meeste websites gebruiken.

2fa

2FA voegt een extra factor toe: meestal een eenmalige code die naar uw telefoon wordt verzonden wanneer u zich aanmeldt bij uw account vanaf een nieuw apparaat of een nieuwe locatie. Iemand die probeert in te loggen op uw account moet niet alleen uw wachtwoord stelen, maar ook, in theorie, toegang tot uw telefoon hebben wanneer zij proberen in te loggen. Meer diensten, zoals Apple en Google, implementeren 2FA Lock Down These Services Now With Two -Factor Authenticatie Vergrendelen Deze services nu met two-factor authenticatie Twee-factor authenticatie is de slimme manier om uw online accounts te beschermen. Laten we een paar van de services bekijken die u kunt vergrendelen met een betere beveiliging. Lees verder .

Grant's Story

Het verhaal van Grant lijkt veel op Wired schrijver Mat Honan's. Mat liet zijn hele digitale leven vernietigen door hackers die toegang wilden krijgen tot zijn Twitter-account: hij heeft de gebruikersnaam @mat. Grant heeft ook het tweeletterige @gb Instagram-account dat hem tot doelwit maakte.

gb_instagram

Op zijn Ello-account beschrijft Grant hoe hij, zolang hij zijn Instagram-account had, enkele keren per week te maken heeft gehad met ongevraagde e-mails voor het resetten van zijn wachtwoord. Dat is een grote rode vlag die iemand probeert te hacken in uw account. Af en toe kreeg hij een 2FA-code voor het Gmail-account dat was gekoppeld aan zijn Instagram-account.

Op een ochtend was het anders. Hij werd wakker met een sms waarin stond dat het wachtwoord van zijn Google-account was gewijzigd. Gelukkig kon hij weer toegang krijgen tot zijn Gmail-account, maar de hackers hadden snel gehandeld en zijn Instagram-account verwijderd en de @gb-handle voor zichzelf gestolen.

Wat er met Grant is gebeurd, is bijzonder verontrustend omdat het plaatsvond ondanks dat hij 2FA gebruikte.

Hubs en zwakke punten

Zowel Mat's als Grant's hacks waren afhankelijk van hackers die zwakke punten in andere services gebruikten om toegang te krijgen tot een key hub-account: hun Gmail-account. Hieruit konden de hackers een standaard wachtwoordreset uitvoeren voor elk account dat aan dat e-mailadres is gekoppeld. Als een hacker toegang heeft gekregen tot mijn Gmail, kunnen ze hier toegang krijgen tot mijn account bij MakeUseOf, mijn Steam-account en al het andere.

Mat heeft een uitstekend, gedetailleerd verslag geschreven van hoe hij precies is gehackt. Het legt uit hoe de hackers toegang kregen met zwakke punten in de beveiliging van Amazon om zijn account over te nemen, gebruikte de informatie die ze daar hadden verkregen om toegang te krijgen tot zijn Apple-account en gebruikte dat vervolgens om in zijn Gmail-account te komen - en zijn hele digitale leven.

De situatie van Grant was anders. Mat's hack zou niet gewerkt hebben als hij 2FA had ingeschakeld in zijn Gmail-account. In het geval van Grant kwamen ze er omheen. De details van wat er met Grant is gebeurd, zijn niet zo duidelijk, maar sommige details kunnen worden afgeleid. Schrijven op zijn Ello-account, Grant zegt:

Dus, voor zover ik kan nagaan, begon de aanval eigenlijk met mijn mobiele telefoonprovider, die op de een of andere manier een bepaald niveau van toegang of social engineering in mijn Google-account toestond, waardoor de hackers een e-mail voor wachtwoordherstel van Instagram konden ontvangen, waardoor ze controle kregen van het account.

De hackers hebben doorschakeling op zijn mobiele-telefoonaccount mogelijk gemaakt. Of dit de 2FA-code toestond om naar hen te worden verzonden of dat ze een andere methode gebruikten om erachter te komen, is onduidelijk. Hoe dan ook, door Grant's gsm-account in gevaar te brengen, kregen ze toegang tot zijn Gmail en vervolgens zijn Instagram.

Vermijd deze situatie zelf

Ten eerste is de belangrijkste afweging hier niet dat 2FA kapot is en niet de moeite waard om op te zetten. Het is een uitstekende beveiligingsinstelling die u zou moeten gebruiken; het is gewoon niet kogelvrij. In plaats van uw telefoonnummer voor authenticatie te gebruiken, kunt u het veiliger maken met behulp van Authy of Google Authenticator. Kan tweestapsverificatie minder irriterend zijn? Vier geheime hacks die de veiligheid kunnen verbeteren Kan tweestapsverificatie minder irriterend zijn? Vier geheime hacks Gegarandeerd om de beveiliging te verbeteren Wilt u bulletproof accountbeveiliging? Ik raad u ten zeerste aan om de zogenaamde "two-factor" -verificatie in te schakelen. Lees verder . Als de hackers van Grant de verificatietekst konden omleiden, zou dit zijn gestopt.

Ten tweede, bedenk waarom mensen je zouden willen hacken. Als u waardevolle gebruikersnamen of domeinnamen bezit, loopt u een verhoogd risico. Evenzo, als je een beroemdheid bent, heb je meer kans om te worden gehackt. 4 manieren om te voorkomen dat je wordt gehackt als een beroemdheid 4 manieren om te worden gehackt als een beroemdheid Gelekte naaktsterren van beroemdheden in 2014 hebben de krantenkoppen over de hele wereld gemaakt. Zorg ervoor dat u deze tips niet krijgt. Lees verder . Als u zich niet in een van deze situaties bevindt, is de kans groter dat u wordt gehackt door iemand die u kent of in een opportunistische hack nadat uw wachtwoord online is gelekt. In beide gevallen is de beste verdediging veilige, unieke wachtwoorden voor elke individuele service. Persoonlijk gebruik ik 1Password, wat een handige manier is om je wachtwoorden te beveiligen Laat 1Password voor Mac Je wachtwoorden beheren en beveiligde gegevens Laat 1Password voor Mac Je wachtwoorden en beveiligde gegevens beheren Ondanks de nieuwe iCloud-sleutelhanger in OS X Mavericks, heb ik nog steeds de voorkeur mijn wachtwoorden beheren in het klassieke en populaire 1Password van AgileBits, nu in de vierde versie. Read More en is beschikbaar op elk belangrijk platform.

1Password

Ten derde, minimaliseer de impact van hub-accounts. Hub-accounts maken het u gemakkelijk, maar ook voor hackers. Stel een geheim e-mailaccount in en gebruik dat als wachtwoordherstelaccount voor uw belangrijke online services. Mat had dit gedaan, maar de aanvallers konden de eerste en laatste letters ervan zien; ze zagen m ••••• [email protected] Wees een beetje fantasierijker. Gebruik deze e-mail ook voor belangrijke accounts. Vooral die waaraan financiële informatie is gekoppeld, zoals Amazon. Op die manier zullen hackers die toegang krijgen tot uw hub-accounts geen toegang krijgen tot belangrijke services.

Ten slotte, vermijd het plaatsen van gevoelige informatie online. Mat's hackers vonden zijn adres met behulp van een WhoIs-lookup - die informatie geeft over wie de eigenaar van een site is - waardoor ze zijn Amazon-account konden gebruiken. Grant's mobiele nummer was waarschijnlijk ook ergens online beschikbaar. Beide e-mailadressen van hun hub waren publiekelijk beschikbaar, wat hackers een beginpunt gaf.

Ik hou van 2FA, maar ik kan begrijpen hoe dit de mening van sommige mensen erover zou veranderen. Welke stappen onderneemt u om uzelf te beschermen na de hacks Mat Honan en Grant Blakeman?

Afbeeldingscredits: 1Password.

In this article