两因素身份验证(2FA)是在线安全领域中最受吹捧的进步之一。本周早些时候,有新闻称它已被黑客入侵。
@gb Instagram帐户的设计者和所有者Grant Blakeman醒来后发现自己的Gmail帐户已被盗用,黑客窃取了他的Instagram句柄。尽管启用了2FA,但这还是可以实现的。
2FA:短版
2FA是一种使在线帐户更难以被黑客入侵的策略。我的同事蒂娜(Tina)写了一篇很棒的文章,讲述2FA是什么,为什么要使用它;如果您想要更详细的介绍,则应该查看一下。
在典型的单因素身份验证设置(1FA)中,您仅使用密码。这使它极度脆弱。如果有人输入了您的密码,他们可以以您的身份登录。不幸的是,这是大多数网站使用的设置。
2FA增加了一个附加因素:当您从新设备或位置登录帐户时,通常会向手机发送一次代码。试图闯入您帐户的人不仅需要窃取密码,而且从理论上讲,他们在尝试登录时可以访问您的手机。Apple和Google等更多服务正在实施2FA。
格兰特的故事与有线作家马特·霍南(Mat Honan)的故事非常相似。 Mat的整个数字生活都被想要访问他的Twitter帐户的黑客摧毁:他的用户名@mat。格兰特(Grant)同样有两个字母的@gb Instagram帐户,这使他成为了目标。
在他的Ello帐户上,格兰特(Grant)描述了,只要他拥有自己的Instagram帐户,他就一直在处理不请自来的问题每周几次重置密码电子邮件。这是一个巨大的危险信号,表明有人试图入侵您的帐户。有时候,他会获得一个附加到他的Instagram帐户上的Gmail帐户的2FA代码。
一天早晨,情况有所不同。他醒了过来,告诉他他的Google帐户密码已更改。幸运的是,他能够重新获得其Gmail帐户的访问权限,但黑客迅速采取了行动,并删除了自己的Instagram帐户,从而自行窃取了@gb句柄。
格兰特的情况尤其令人担忧,因为尽管他使用2FA。
集线和弱点
Mat和Grant的黑客都依靠黑客利用其他服务中的弱点进入关键的集线器帐户:他们的Gmail帐户。由此,黑客能够对与该电子邮件地址关联的任何帐户进行标准密码重置。如果黑客获得了访问我的Gmail的权限,他们将可以通过PCPC.me,我的Steam帐户以及其他所有权限访问我的帐户。
Mat编写了一个非常详尽的详细帐户,详细介绍了他如何被黑了。它解释了黑客如何利用亚马逊安全漏洞来接管他的帐户,如何利用从那里获得的信息访问他的Apple帐户,然后利用这些信息进入他的Gmail帐户以及整个数字生活。
黑客启用了他的手机帐户上的呼叫转移功能。目前尚不清楚这是否允许将2FA代码发送给他们,还是他们使用了另一种方法来解决它。无论哪种方式,通过破坏Grant的手机帐户,他们都可以访问他的Gmail,然后可以访问他的Instagram。
自己避免这种情况
首先,关键的要点不是2FA是坏了,不值得设置。这是您应该使用的出色的安全设置。它不是防弹的。您可以使用Authy或Google Authenticator使其更安全,而不是使用电话号码进行身份验证。如果格兰特(Grant)的黑客设法重定向了验证文本,这将阻止该文本。
第二,请考虑人们为什么想要对您进行黑客攻击。如果您拥有有价值的用户名或域名,则可能会面临更大的风险。同样,如果您是名人,则更容易被黑客入侵,并且可以在每个主要平台上使用。
第三,最大程度地减少中心帐户的影响。集线器帐户不仅使您的生活变得轻松,也使黑客轻松。设置一个秘密电子邮件帐户,并将其用作重要在线服务的密码重置帐户。 Mat做到了这一点,但攻击者能够查看它的开头和结尾。他们看到了m••••[email protected]。多一点想像力。您也应该将此电子邮件用于重要帐户。特别是那些附带财务信息的商品,例如亚马逊。这样,即使黑客能够访问您的中心帐户,他们也不会获得对重要服务的访问权限。
最后,避免在线发布敏感信息。马特(Mat)的黑客通过WhoIs查找找到了他的地址,该查找可以告诉您有关谁拥有网站的信息,从而帮助他们进入了他的亚马逊帐户。格兰特的手机号码可能也可以在网上找到。他们的两个中心电子邮件地址都是公开可用的,这为黑客提供了一个起点。
我喜欢2FA,但我了解这将如何改变某些人对此的看法。在Mat Honan和Grant Blakeman遭到黑客入侵之后,您要采取什么措施来保护自己?
图片信用:1密码。
