Двофакторна автентифікація є скрізь. З моменту входу у свій обліковий запис Gmail до доступу до ваших фінансових реквізитів через PayPal 2FA буде вітати вас як більш безпечний спосіб входу. Ви навіть знайдете його під час налаштування PS5 або Xbox Series X. , швидше за все, ви вже звикли сьогодні.
Також відома як багатофакторна автентифікація, 2FA - це додатковий рівень безпеки - використовується практично кожною онлайн -платформою -, який зупиняє багатьох хакерів низького рівня на їх шляху, захищаючи всю вашу цінну особисту інформацію від порушення.
- Найкращі пропозиції телефонів у 2022-2023 роках
- Дізнайтеся найкращі смартфони в 2022-2023 роках
На жаль, тактика злому вічно розвивається, і все, що потрібно, це один хитрий кіберзлочинець, щоб знайти крихітну дірку в обладунках і пограбувати те, що колись було непроникним для них. Але вам не потрібно бути хитрим у розшифруванні коду, щоб отримати доступ до нічого не підозрюючого облікового запису жертви.
Насправді, згідно зі Звітом Verizon Data Breame Investigation Investigation Investigation Investigation (2021-2022), 61% із 5250 підтверджених порушень безпеки, які аналізував американський мережевий оператор, стосувалися вкрадених даних. Звичайно, метою багатофакторної автентифікації є запобігання зловмисним акторам отримати доступ до облікового запису, навіть якщо вони виявлять надсекретний пароль.
Але подібно до того, як Скар залишив Муфасу, щоб піддатися своїй загибелі в одній з найбільших зрад усіх часів, метод безпеки також може бути першопричиною кіберзлочинної діяльності. Справжній зрадник? Ваш старий номер телефону.
Щоб краще зрозуміти, як зловмисники можуть легко використовувати двофакторну автентифікацію проти вас, краще знати, що таке метод безпеки в Інтернеті та як він працює. Якщо це допомагає, подумайте про свій старий номер телефону як Шрам у цій частині.
Що таке двофакторна автентифікація?
Багатофакторна автентифікація (МЗС)-це метод цифрової автентифікації, який використовується для підтвердження ідентичності користувача, щоб надати йому доступ до веб-сайту або програми за допомогою принаймні двох доказів. Двофакторна автентифікація, більш відома як 2FA, є найбільш часто використовуваним методом.
Для того, щоб 2FA працював, користувач повинен мати принаймні дві важливі дані для входу в обліковий запис (при цьому багатофакторний, як правило, включає більше трьох різних деталей). Це означає, що якщо неавторизований користувач отримає пароль, він все одно потребуватиме доступу до електронної пошти або номера телефону, пов’язаного з обліковим записом, куди надсилається спеціальний код для додаткового рівня захисту.
Наприклад, банку буде потрібно ім’я користувача та пароль, щоб користувач мав доступ до свого облікового запису, але йому також потрібна друга форма автентифікації, така як унікальний код або розпізнавання відбитків пальців для підтвердження ідентичності користувача. Цей другий фактор також можна використовувати до здійснення транзакції.
Як пояснює компанія -розробник програмного забезпечення Ping Identity, необхідні облікові дані 2FA поділяються на три різні категорії: "те, що ви знаєте", "те, що у вас є", і "те, що ви є". З точки зору "те, що ви знаєте" або ваші знання, це зводиться до ваших паролів, PIN -коду або відповіді на секретне запитання, наприклад "як дівоче прізвище вашої матері?" (те, чого я, здається, ніколи не пам’ятаю).
"Те, що ви є", напевно, є найбезпечнішою категорією, оскільки підтверджує вашу особу за фізичною рисою, властивою лише вам. Зазвичай це спостерігається на смартфонах, таких як iPhone або телефон Samsung Galaxy, які використовують біометричну автентифікацію, наприклад, відбиток пальця або сканування обличчя, щоб отримати доступ.
Що стосується "того, що у вас є", це означає те, що у вас є, а це може бути будь -що - від розумного пристрою до смарт -картки. Як правило, цей метод означає отримання спливаючого повідомлення на телефон за допомогою SMS, яке потрібно підтвердити, перш ніж отримати доступ до облікового запису. Для будь -яких професіоналів, які використовують Google Gmail для бізнесу, ви натрапили на цю категорію.
На жаль, ця остання категорія викликає занепокоєння, особливо коли ви додаєте у суміш переробку номерів телефонів.
Переробка номера телефону
За даними Федеральної комісії зв'язку (FCC), понад 35 мільйонів номерів у США відключаються і знову стають доступними, перепризначаючи їх новому абоненту щороку. Звичайно, цифри нескінченні, і все, але існує лише так багато 10 або 11-значних комбінацій, які мобільна мережа може запропонувати своїм клієнтам.
Офіс комунікацій Великобританії (Ofcom), організація, яка призначає мобільні номери провайдерам британських мереж, заявляє (через The Evening Standard), що вона має сувору політику "використовувати або втратити" для оплати по дорозі номери мобільних. Vodafone відключає та переробляє номер телефону лише через 90 днів без активності, тоді як O2 робить це через 12 місяців.
У США постачальники мережі, включаючи Verizon та T-Mobile, дозволяють клієнтам змінювати та вибирати доступні номери, показані в інтернет-інтерфейсах для зміни номерів, через свій веб-сайт або додаток. Доступні мільйони перероблених номерів телефонів, з кожним днем їх стає все більше.
Перероблені номери можуть бути шкідливими для тих, кому вони спочатку належали, оскільки багато платформ, включаючи Gmail і Facebook, пов’язані з вашим номером мобільного телефону для відновлення пароля або, ось, швидка двофакторна автентифікація.
Як 2FA піддає вас ризику
Дослідження в Прінстонському університеті виявило, наскільки легко кожен може отримати перероблений номер телефону та використовувати його для кількох поширених кібератак, включаючи захоплення облікових записів і навіть заборону доступу до облікового запису, тримаючи його в заручниках та просячи викуп в обмін на доступ.
Згідно з дослідженням, зловмисник може знайти доступні номери та перевірити, чи пов’язані якісь із них з обліковими записами від попередніх власників. Переглядаючи свої профілі в Інтернеті та перевіряючи, чи старий номер пов’язаний, зловмисники можуть купити перероблений номер (всього 15 доларів у T-Mobile) та скинути пароль до облікових записів. За допомогою 2FA вони отримають та введуть спеціальний код, надісланий за допомогою SMS.
Дослідники перевірили 259 номерів, отриманих від двох мобільних операторів США, і виявили, що 171 з них мають зв’язаний обліковий запис принаймні на одному з шести поширених веб -сайтів: Amazon, AOL, Facebook, Google, PayPal та Yahoo. Це називається "атакою зворотного пошуку".
Дослідники виявили ще один варіант атаки, який дозволив зловмисникам скористатися обліковими записами без необхідності скидання пароля. За допомогою онлайн -служби пошуку людей BeenVerified, хакер міг шукати адресу електронної пошти, використовуючи перероблений номер телефону, а потім перевірити, чи були адреси електронної пошти причетні до порушення даних, використовуючи "Я був завалений". Якби це було так, зловмисник міг би придбати пароль на чорному ринку кіберзлочинців і зламати обліковий запис із підтримкою 2FA без необхідності скидання пароля.
Щоб погіршити ситуацію, зловмисники також можуть взяти ваш рахунок як заручника. Неприємна хитрість полягає в тому, що хакер отримує номер для реєстрації в кількох онлайн -сервісах, яким потрібен номер телефону. Після завершення послуги вони припиняють обслуговування, щоб номер можна було повторно використати, щоб новий абонент почав користуватися. Коли новий користувач намагається підписатися на ті самі послуги, хакер буде повідомлений через 2FA і відмовить їм у використанні послуги. Після цього суб’єкт загрози вимагатиме від потерпілого виплати викуп, якщо він хоче скористатися цими онлайн -сервісами.
Використання 2FA таким способом є жахливим, але це не перешкоджає цьому. T-Mobile переглянув дослідження ще в грудні і тепер нагадує передплатникам оновити свій контактний номер на банківських рахунках та профілях у соціальних мережах на сторінці підтримки зміни номера. Але це все, що може зробити перевізник, тобто ті, хто не поінформований, будуть відкриті для атак.
Альтернативні способи використання 2FA
У будь -якому випадку, номери телефонів і 2FA не дуже добре гелюють. Хороша новина, однак, полягає в тому, що зараз, коли ви вирішуєте використовувати 2FA, доступні інші варіанти, включаючи вищезгадані біометричні методи або програми автентифікації.
Однак ці варіанти не завжди доступні, а іноді онлайн -послуги надають вам лише два варіанти 2FA: ваш номер телефону або електронну адресу. Якщо ви не хочете, щоб хакери перебирали вашу особисту інформацію, краще вибрати автентифікацію електронної пошти. Звичайно, є ті, хто не завжди використовує свої електронні листи, і з часом часто може забути свої паролі. Відсутність пароля означає відсутність способу отримання коду автентифікації.
Щоб вирішити цю проблему, найкраще знайти менеджера паролів. Раніше LastPass був популярним місцем завдяки своєму безкоштовному сервісу, але є й інші претенденти, які варто перевірити.
"Але що, якщо я вже використовую свій номер телефону для 2FA?" Я чую, як ви питаєте. Якщо ви плануєте змінити свій номер телефону, перед тим, як змінити його, не забудьте від’єднати його від онлайн -сервісів, до яких він підключений. І якщо ви вже зробили перехід, варто оновити свій час, щоб оновити свої облікові записи, щоб позбутися від будь -яких Шрамів (телефонних номерів), які чекають, щоб зачепити вас, коли ви найменше цього очікуєте.
Outlook
Двофакторна автентифікація є скрізь, і вона залишається надовго. Фактично, незабаром Google змусить вас використовувати 2FA під час входу, а технічний гігант гарантує "безпечніше майбутнє без паролів". Це не страшна ідея, але багато людей можуть використовувати свої номери телефонів як спосіб ідентифікації. Ми впевнені, що хакерам низького рівня подобається цей звук.
Щоб цього не сталося, як тільки 2FA почне захоплювати всі онлайн -платформи, вам залишається лише прочитати назву цієї статті та слідувати нашим порадам.