Autentifikacija u dva faktora prisutna je posvuda. Od trenutka kada se prijavite na svoj Gmail račun do pristupa svojim financijskim podacima putem PayPala, 2FA je tu da vas pozdravi kao sigurniji način prijave. Naći ćete ga čak i prilikom postavljanja PS5 ili Xbox serije X. Dovraga , šanse su da ste već navikli danas.
Poznata i kao višefaktorska provjera autentičnosti, 2FA je dodatni sloj sigurnosti - koristi ga gotovo svaka internetska platforma - koji zaustavlja mnoge hakere niske razine u njihovom kretanju, štiteći sve vaše vrijedne privatne podatke od kršenja.
- Najbolje ponude telefona u razdoblju od 2022-2023. do 2022. godine
- Saznajte najbolje pametne telefone u razdoblju od 2022-2023. do 2022. godine
Nažalost, taktike hakiranja se zauvijek razvijaju, a sve što je potrebno je jedan lukavi kibernetički kriminalac da pronađe sitnu rupu u oklopu i opljačka ono što im je nekad bilo neprobojno. No, ne morate biti zlonamjerni u dešifriranju koda da biste dobili pristup računu žrtve koja ništa ne sumnja.
Zapravo, prema Verizon-ovom izvješću Verizon Data Breach Investigations, za 2022-2023.-2022., 61% od 5.250 potvrđenih povreda sigurnosti koje je američki mrežni operater analizirao uključuju ukradene vjerodajnice. Naravno, svrha višefaktorske provjere autentičnosti je spriječiti zlonamjerne aktere u pristupu računu čak i ako otkriju supertajnu lozinku.
No, slično kao što je Scar ostavio Mufasu da padne u propast u jednoj od najvećih izdaja svih vremena, sigurnosna metoda također može biti glavni uzrok aktivnosti kibernetičkog kriminala. Pravi izdajnik? Vaš stari telefonski broj.
Za bolji uvid u to kako napadači mogu lako koristiti dvofaktorsku provjeru autentičnosti protiv vas, najbolje je znati koja je mrežna sigurnosna metoda i kako funkcionira. Ako vam pomaže, razmislite o svom starom telefonskom broju kao Ožiljak u ovom komadu.
Što je autentifikacija u dva faktora?
Višefaktorska provjera autentičnosti (MFA) je metoda digitalne provjere autentičnosti koja se koristi za potvrdu identiteta korisnika kako bi mu se omogućio pristup web stranici ili aplikaciji kroz najmanje dva dokaza. Dvofaktorska autentifikacija, popularnije poznata kao 2FA, najčešće se koristi.
Kako bi 2FA funkcionirao, korisnik mora imati najmanje dvije važne vjerodajnice kako bi se prijavio na račun (s više faktora koji obično uključuju više od tri različita detalja). To znači da ako neovlašteni korisnik dobije lozinku, i dalje će mu trebati pristup e -pošti ili telefonskom broju koji je povezan s računom na koji se šalje poseban kôd radi dodatne razine zaštite.
Na primjer, banka će zahtijevati korisničko ime i lozinku kako bi korisnik mogao pristupiti svom računu, ali joj je također potreban i drugi oblik autentifikacije, poput jedinstvenog koda ili prepoznavanja otiska prsta za potvrdu identiteta korisnika. Ovaj drugi faktor može se koristiti i prije nego što se izvrši transakcija.
Kako je objasnila softverska tvrtka Ping Identity, potrebni vjerodajnici 2FA podijeljeni su u tri različite kategorije: "ono što znate", "ono što imate" i "ono što jeste". U smislu "onoga što znate" ili vašeg znanja, to se svodi na vaše lozinke, PIN broj ili odgovor na sigurnosno pitanje, poput "koje je djevojačko prezime vaše majke?" (nešto čega se izgleda nikad ne sjećam).
"Ono što jesi" vjerojatno je najsigurnija kategorija jer potvrđuje vaš identitet iz fizičke osobine svojstvene samo vama. To se obično vidi na pametnim telefonima, poput iPhonea ili telefona Samsung Galaxy, koji koriste biometrijsku provjeru autentičnosti, poput otiska prsta ili skeniranja lica, za pristup.
Što se tiče "onoga što imate", to se odnosi na ono što imate u posjedu, što može biti bilo što, od pametnog uređaja do pametne kartice. Općenito, ova metoda znači dobivanje skočne obavijesti na telefonu putem SMS-a koju je potrebno potvrditi prije pristupa računu. Za sve profesionalce koji koriste Google Gmail za tvrtke naići ćete na ovu kategoriju.
Nažalost, ta posljednja kategorija izaziva zabrinutost, osobito kada umiješate recikliranje telefonskih brojeva.
Recikliranje telefonskog broja
Prema Federalnom povjerenstvu za komunikacije (FCC), više od 35 milijuna brojeva u SAD -u je prekinuto i postaje ponovno dostupno dodjeljivanjem novom pretplatniku svake godine. Naravno, brojevi su beskonačni i sve, ali postoji samo toliko kombinacija od 10 ili 11 znamenki koje mobilna mreža može ponuditi svojim korisnicima.
Ured za komunikacije Ujedinjenog Kraljevstva (Ofcom), subjekt koji dodjeljuje mobilne brojeve pružateljima usluga britanske mreže, navodi (putem The Evening Standarda) da ima strogu politiku "upotrijebi ga ili izgubi" za plaćanje u tijeku brojeve mobitela. Vodafone prekida vezu i reciklira telefonski broj nakon samo 90 dana bez aktivnosti, dok O2 to čini nakon 12 mjeseci.
U SAD-u mrežni davatelji, uključujući Verizon i T-Mobile, dopuštaju korisnicima da mijenjaju i odabiru dostupne brojeve prikazane na mrežnim sučeljima za promjenu broja putem svoje web stranice ili aplikacije. Dostupni su milijuni recikliranih telefonskih brojeva, a svaki dan ih se sve više gomila.
Reciklirani brojevi mogu biti štetni za one koji su ih izvorno posjedovali, jer su mnoge platforme, uključujući Gmail i Facebook, povezane s vašim mobilnim brojem za oporavak lozinke ili, evo uvodne, dvofaktorske provjere autentičnosti.
Kako vas 2FA dovodi u opasnost
Studija na Sveučilištu Princeton otkrila je kako svatko lako može dobiti reciklirani telefonski broj i koristiti ga za nekoliko uobičajenih kibernetičkih napada, uključujući preuzimanje računa, pa čak i uskraćivanje pristupa računu držeći ga kao taoca i tražeći otkupninu u zamjenu za pristup.
Prema studiji, napadač može pronaći dostupne brojeve i provjeriti je li neki od njih povezan s internetskim računima prethodnih vlasnika. Pregledavajući njihove mrežne profile i provjeravajući je li njihov stari broj povezan, napadači mogu kupiti reciklirani broj (samo 15 USD u T-Mobileu) i poništiti lozinku na računima. Koristeći 2FA, oni će tada primiti i unijeti poseban kôd poslan putem SMS -a.
Znanstvenici su testirali 259 brojeva do kojih su došli putem dva američka mobilna operatera i otkrili da ih 171 ima povezan račun na barem jednoj od šest često korištenih web stranica: Amazon, AOL, Facebook, Google, PayPal i Yahoo. To se naziva "napadom obrnutog pretraživanja".
Istraživači su otkrili još jednu varijaciju napada koja je zlonamjernim akterima omogućila otmicu računa bez potrebe za poništavanjem lozinke. Korištenje usluge pretraživanja ljudi na mreži BeenVerified, haker je mogao potražiti adresu e -pošte pomoću recikliranog telefonskog broja, a zatim provjeriti jesu li adrese e -pošte bile upletene u povrede podataka korištenjem Have I Been Pwned ?. Da jesu, napadač je mogao kupiti lozinku na crnom tržištu kibernetičkog kriminala i provaliti na račun s 2FA-om bez potrebe za poništavanjem lozinke.
Da stvar bude gora, napadači mogu uzeti vaš račun kao taoca. Gadan trik je vidjeti kako haker dobiva broj za prijavu na nekoliko internetskih usluga za koje je potreban telefonski broj. Nakon što završe, prekidaju uslugu kako bi se broj mogao reciklirati kako bi novi pretplatnik počeo koristiti. Kada se novi korisnik pokuša prijaviti na iste usluge, haker će biti obaviješten putem 2FA -a i uskratit će mu način korištenja usluge. Akter prijetnje tada će od žrtve zatražiti otkupninu ako želi koristiti ove internetske usluge.
Korištenje 2FA na ovaj način je užasno, ali to ga ne sprječava. T-Mobile je u prosincu pregledao istraživanje i sada podsjeća pretplatnike da ažuriraju svoj kontakt broj na bankovnim računima i profilima na društvenim mrežama na svojoj stranici za podršku za promjenu broja. No, to je sve što prijevoznik ima moć učiniti, što znači da će oni koji nisu informirani biti otvoreni za napade.
Alternativni načini korištenja 2FA
Ako ništa drugo, telefonski brojevi i 2FA ne geliraju se baš najbolje. Dobra vijest je, međutim, da je sada na raspolaganju više opcija pri odabiru korištenja 2FA, uključujući gore spomenute biometrijske metode ili aplikacije za provjeru autentičnosti.
Međutim, ove opcije nisu uvijek dostupne, a ponekad vam mrežne usluge pružaju samo dvije mogućnosti za 2FA: vaš telefonski broj ili vaša adresa e -pošte. Ako ne želite da hakeri kopaju po vašim privatnim podacima, najbolje je odlučiti se za autentifikaciju e -pošte. Naravno, postoje oni koji ne koriste uvijek svoju e -poštu, a s vremenom često mogu zaboraviti svoje lozinke. Bez lozinke znači da nema načina dobivanja autentifikacijskog koda.
Da biste to riješili, najbolje je pronaći upravitelja lozinki. LastPass je godinama bio besplatan zbog svoje besplatne usluge, ali postoje i drugi kandidati koje vrijedi provjeriti.
"Ali što ako već koristim svoj telefonski broj za 2FA?" Čujem da pitaš. Ako razmišljate o promjeni telefonskog broja, prije nego što promijenite način, poništite vezu telefonskog broja s mrežnim uslugama s kojima je povezan. A ako ste već izvršili promjenu, vrijedno je vašeg vremena ažurirati svoje račune kako biste se riješili svih ožiljaka (telefonskih brojeva) koji čekaju da vam zadaju udarce u leđa kada to najmanje očekujete.
Outlook
Autentifikacija u dva faktora prisutna je posvuda i tu ostaje. Zapravo, Google će vas uskoro prisiliti da prilikom prijave koristite 2FA, a tehnološki div jamči za „sigurniju budućnost bez lozinki“. Ovo nije strašna ideja, ali postoji mogućnost da mnogi ljudi koriste svoje telefonske brojeve kao način identifikacije. Sigurni smo da se hakerima na niskoj razini sviđa zvuk toga.
Kako se ovo ne bi dogodilo, jednom kad 2FA počne preuzimati sve internetske platforme, sve što trebate učiniti je pročitati naslov ovog članka i slijediti naše savjete.