Dvoufaktorová autentizace je všude. Od chvíle, kdy se přihlásíte ke svému účtu Gmail a získáte přístup k finančním údajům prostřednictvím systému PayPal, vás 2FA přivítá jako bezpečnější způsob přihlašování. Najdete ho dokonce i při nastavování PS5 nebo Xbox Series X. Heck , je pravděpodobné, že jste si na to už dnes zvykli.
Také známý jako vícefaktorová autentizace, 2FA je další vrstva zabezpečení - používaná prakticky každou online platformou - která zastaví mnoho hackerů na nízké úrovni a chrání všechny vaše cenné soukromé informace před narušením.
- Nejlepší nabídky telefonů v letech 2022-2023
- Objevte nejlepší smartphony v letech 2022-2023
Bohužel, hackerské taktiky se neustále vyvíjejí a stačí jeden chytrý kyberzločinec, aby našel malou díru ve zbroji a vyplenil kdysi neproniknutelné účty, které by obsahovaly jeho srdce. Abyste ale získali přístup k účtu nic netušícího oběti, nemusíte být svižní při dešifrování kódu.
Podle zprávy Verizon Data Breach Investigations Report 2022-2023 Verizon, 61% z 5250 potvrzených porušení zabezpečení, které americký operátor sítě analyzoval, ukradené přihlašovací údaje. Účelem vícefaktorové autentizace je samozřejmě zabránit škodlivým aktérům v přístupu k účtu, i když zjistí přísně tajné heslo.
Ale podobně jako Scar opustil Mufasu, aby propadl svému osudu v jedné z největších zrad všech dob, bezpečnostní metoda může být také hlavní příčinou kyberzločinecké aktivity. Skutečný zrádce? Vaše staré telefonní číslo.
Abyste získali lepší představu o tom, jak mohou útočníci proti vám snadno používat dvoufaktorové ověřování, je nejlepší vědět, co je to metoda online zabezpečení a jak funguje. Pokud to pomůže, myslete na své staré telefonní číslo jako Scar v tomto díle.
Co je dvoufaktorová autentizace?
Vícefaktorová autentizace (MFA) je metoda digitální autentizace používaná k potvrzení identity uživatele a umožnění přístupu na web nebo aplikaci prostřednictvím alespoň dvou důkazů. Dvoufaktorová autentizace, známější pod zkratkou 2FA, je nejčastěji používanou metodou.
Aby 2FA fungovala, musí mít uživatel pro přihlášení k účtu alespoň dvě důležité části přihlašovacích údajů (přičemž vícefaktorové obvykle zahrnují více než tři různé detaily). To znamená, že pokud se neoprávněnému uživateli dostane do rukou heslo, bude stále potřebovat přístup k e -mailu nebo telefonnímu číslu propojenému s účtem, na který je zaslán speciální kód pro zvýšení úrovně ochrany.
Banka například bude vyžadovat uživatelské jméno a heslo, aby měl uživatel přístup ke svému účtu, ale také potřebuje druhou formu autentizace, jako je jedinečný kód nebo rozpoznávání otisků prstů k potvrzení identity uživatele. Tento druhý faktor lze také použít před provedením transakce.
Jak vysvětlila softwarová společnost Ping Identity, požadovaná pověření 2FA jsou rozdělena do tří různých kategorií: „co víte“, „co máte“ a „co jste“. Pokud jde o „co víte“ nebo vaše znalosti, jde o hesla, PIN číslo nebo odpověď na bezpečnostní otázku, například „jaké je dívčí jméno vaší matky?“ (něco, co si nikdy nepamatuji).
„Co jste“ je pravděpodobně nejbezpečnější kategorie, protože potvrzuje vaši identitu fyzickým rysem, který je jedinečný pouze pro vás. To je obvykle vidět na smartphonech, jako je iPhone nebo Samsung Galaxy, pomocí biometrického ověřování, jako je otisk prstu nebo sken obličeje, aby získali přístup.
Pokud jde o „to, co máte“, jde o to, co máte ve svém vlastnictví, což může být cokoli od chytrého zařízení po čipovou kartu. Obecně tato metoda znamená, že dostanete do telefonu vyskakovací oznámení prostřednictvím SMS, které je třeba potvrdit před získáním přístupu k účtu. Na všechny profesionály, kteří používají Google Gmail pro firmy, jste narazili na tuto kategorii.
Tato poslední kategorie bohužel vyvolává obavy, zvláště když do mixu hodíte recyklaci telefonního čísla.
Recyklace telefonního čísla
Podle Federální komunikační komise (FCC) je více než 35 milionů čísel v USA odpojeno a jsou opět k dispozici jejich opětovným přiřazením novému předplatiteli každý rok. Jistě, čísla jsou nekonečná a všechna, ale existuje jen tolik 10 nebo 11místných kombinací, které může mobilní síť nabídnout svým zákazníkům.
Britský úřad pro komunikaci (Ofcom), subjekt, který přiřazuje mobilní čísla poskytovatelům britských sítí, uvádí (prostřednictvím The Evening Standard), že má přísnou zásadu „používejte to nebo jej ztratte“ pro průběžné platby mobilní čísla. Vodafone odpojí a recykluje telefonní číslo po pouhých 90 dnech bez aktivity, zatímco O2 to provede po 12 měsících.
V USA poskytovatelé sítí, včetně společností Verizon a T-Mobile, umožňují zákazníkům měnit a vybírat dostupná čísla zobrazená v rozhraních pro změnu čísel online prostřednictvím svého webu nebo aplikace. K dispozici jsou miliony recyklovaných telefonních čísel, přičemž každý den se hromadí další.
Recyklovaná čísla mohou být škodlivá pro ty, kteří je původně vlastnili, protože mnoho platforem, včetně Gmailu a Facebooku, je spojeno s vaším mobilním číslem pro obnovení hesla nebo, a tady je kicker, dvoufaktorová autentizace.
Jak vás 2FA ohrožuje
Studie na Princetonské univerzitě zjistila, jak snadno může kdokoli získat recyklované telefonní číslo a použít jej pro několik běžných kyberútoků, včetně převzetí účtu a dokonce i odepření přístupu k účtu tím, že ho drží jako rukojmí a žádá o výkupné výměnou za přístup.
Podle studie může útočník najít dostupná čísla a zkontrolovat, zda některá z nich nejsou spojena s online účty předchozích majitelů. Útočníci si mohou prohlížet online profily a kontrolovat, zda je jejich staré číslo propojeno, a koupit si recyklované číslo (u T-Mobile pouhých 15 $) a obnovit heslo k účtům. Pomocí 2FA poté přijmou a zadají speciální kód zaslaný prostřednictvím SMS.
Vědci testovali 259 čísel, která získali prostřednictvím dvou amerických mobilních operátorů, a zjistili, že 171 z nich má propojený účet alespoň na jednom ze šesti běžně používaných webů: Amazon, AOL, Facebook, Google, PayPal a Yahoo. Tomu se říká „útok zpětného vyhledávání“.
Vědci našli další variantu útoku, která umožnila zákeřným hercům unést účty, aniž by museli resetovat heslo. Používání služby online vyhledávání lidí BeenVerified, hacker mohl vyhledat e -mailovou adresu pomocí recyklovaného telefonního čísla a poté zkontrolovat, zda se e -mailové adresy podílely na narušení dat pomocí aplikace Byl jsem zobrazen ?. Pokud by měli, útočník by si mohl koupit heslo na kyberzločinském černém trhu a vniknout do účtu s povolenou 2FA, aniž by musel resetovat heslo.
Aby toho nebylo málo, útočníci mohou také vzít váš účet jako rukojmí. Ošklivý trik vidí, že hacker získá číslo k přihlášení k několika online službám, které vyžadují telefonní číslo. Po dokončení služby přeruší službu, aby bylo možné číslo recyklovat, aby jej mohl začít používat nový předplatitel. Když se nový uživatel pokusí zaregistrovat ke stejným službám, bude hacker upozorněn prostřednictvím 2FA a odepře jim způsob, jak službu používat. Hrozbař poté požádá oběť o zaplacení výkupného, pokud chce využívat tyto online služby.
Použití 2FA tímto způsobem je otřesné, ale to nezabrání tomu, aby se to stalo. T-Mobile provedl průzkum v prosinci a nyní připomíná předplatitelům, aby aktualizovali své kontaktní číslo na bankovních účtech a profilech sociálních médií na stránce podpory změny čísla. Ale to je vše, co má dopravce možnost udělat, což znamená, že ti neinformovaní budou otevření útokům.
Alternativní způsoby použití 2FA
Pokud něco, telefonní čísla a 2FA se nelepí dobře. Dobrou zprávou však je, že nyní je k dispozici více možností, když se rozhodnete používat 2FA, včetně výše uvedených biometrických metod nebo aplikací pro ověřování.
Tyto možnosti však nejsou vždy k dispozici a někdy vám online služby nabízejí pouze dvě možnosti pro 2FA: vaše telefonní číslo nebo vaše e -mailová adresa. Pokud nechcete, aby se hackeři hrabali ve vašich soukromých informacích, je nejlepší zvolit ověřování e -mailem. Samozřejmě existují tací, kteří své e -maily nepoužívají vždy a časem mohou často zapomenout svá hesla. Žádné heslo, neznamená žádný způsob získání ověřovacího kódu.
Chcete -li to vyřešit, je nejlepší najít správce hesel. LastPass býval po mnoho let go-to díky své bezplatné službě, ale existují i jiní uchazeči, které stojí za to vyzkoušet.
"Ale co když už používám své telefonní číslo pro 2FA?" Slyšel jsem, že se ptáš. Pokud uvažujete o změně telefonního čísla, nezapomeňte před přepnutím odpojit své telefonní číslo od online služeb, ke kterým je připojeno. A pokud jste již přepnutí provedli, vyplatí se vám aktualizovat své účty, abyste se zbavili jakýchkoli čekajících jizev (telefonních čísel), aby vám pomohli, když to nejméně čekáte.
Výhled
Dvoufaktorová autentizace je všude a je tu, aby zůstala. Ve skutečnosti vás Google brzy donutí používat 2FA při přihlašování, přičemž technologický gigant zaručí „bezpečnější budoucnost bez hesel“. Není to hrozný nápad, ale mnoho lidí má potenciál používat svá telefonní čísla k identifikaci. Jsme si jisti, že se to hackerům na nízké úrovni líbí.
Abyste tomu zabránili, jakmile 2FA začne přebírat všechny online platformy, stačí si jen přečíst název tohoto článku a řídit se našimi radami.