Двофакторска аутентификација је свуда. Од тренутка када се пријавите на свој Гмаил налог до приступа финансијским подацима путем ПаиПал -а, 2ФА је ту да вас поздрави као сигурнији начин пријављивања. Наћи ћете га чак и приликом постављања ПС5 или Ксбок серије Кс. Дођавола , шансе су да сте већ навикли данас.
Позната и као вишефакторска аутентификација, 2ФА је додатни слој сигурности - који користи практично свака мрежна платформа - који зауставља многе хакере ниског нивоа у њиховом кретању, штитећи све ваше драгоцене приватне податке од кршења.
- Најбоље понуде телефона у периоду 2022-2023
- Сазнајте најбоље паметне телефоне у периоду 2022-2023
Нажалост, тактика хаковања се заувек развија, а све што је потребно је један лукави сајбер криминалац да пронађе ситну рупу у оклопу и опљачка оно што им је некада било непробојно. Али не морате бити злонамерни у дешифровању кода да бисте добили приступ налогу жртве без сумње.
У ствари, према Веризон-овом Извештају о истрагама кршења података за период од 2022-2023. до 2022. године, 61% од 5.250 потврђених кршења безбедности које је амерички мрежни оператер анализирао укључују украдене акредитиве. Наравно, сврха вишефакторске аутентификације је да спречи злонамерне актере да добију приступ налогу чак и ако открију супер тајну лозинку.
Али слично као што је Сцар оставио Муфасу да падне у пропаст у једној од највећих издаја свих времена, безбедносни метод такође може бити основни узрок активности сајбер криминала. Прави издајник? Ваш стари број телефона.
Да бисте боље разумели како нападачи могу лако да користе двофакторску аутентификацију против вас, најбоље је да знате која је безбедносна метода на мрежи и како функционише. Ако помаже, замислите свој стари телефонски број као Ожиљак у овом делу.
Шта је аутентификација у два фактора?
Вишефакторска аутентификација (МФА) је метода дигиталне аутентификације која се користи за потврду идентитета корисника како би му се омогућио приступ веб локацији или апликацији кроз најмање два доказа. Двофакторска аутентификација, популарније позната као 2ФА, је најчешће коришћена метода.
Да би 2ФА функционисао, корисник мора имати најмање два важна акредитива да би се пријавио на налог (при чему више фактора обично укључује више од три различита детаља). То значи да ако неовлашћени корисник дође до лозинке, и даље ће му требати приступ е -пошти или телефонском броју који је повезан са налогом на који се шаље посебан код ради додатног нивоа заштите.
На пример, банци ће бити потребно корисничко име и лозинка како би корисник могао приступити свом налогу, али јој је такође потребан и други облик аутентификације, попут јединственог кода или препознавања отиска прста за потврду идентитета корисника. Овај други фактор се такође може користити пре него што се изврши трансакција.
Како је објаснила софтверска компанија Пинг Идентити, потребни акредитиви 2ФА подељени су у три различите категорије: „оно што знате“, „оно што имате“ и „оно што јесте“. У смислу „онога што знате“ или вашег знања, ово се своди на ваше лозинке, ПИН број или одговор на безбедносно питање, попут „које је девојачко презиме ваше мајке?“ (нешто чега се изгледа никад не сећам).
„Оно што јесте“ је вероватно најсигурнија категорија, јер потврђује ваш идентитет из физичке особине својствене само вама. То се обично види на паметним телефонима, као што је иПхоне или Самсунг Галаки телефон, који користе биометријску аутентификацију, попут отиска прста или скенирања лица, за приступ.
Што се тиче „онога што имате“, ово се односи на оно што имате, што може бити било шта, од паметног уређаја до паметне картице. Генерално, овај метод значи добијање искачућег обавештења на телефону путем СМС-а које је потребно потврдити пре него што приступите налогу. За све професионалце који користе Гоогле Гмаил за предузећа наићи ћете на ову категорију.
Нажалост, ова последња категорија изазива забринутост, посебно када убаците рециклирање телефонских бројева у мешавину.
Рециклирање телефонског броја
Према Федералној комисији за комуникације (ФЦЦ), више од 35 милиона бројева у САД -у је прекинуто и поново постаје доступно тако што их сваке године додељује новом претплатнику. Наравно, бројеви су бесконачни и све, али постоји само толико комбинација од 10 или 11 цифара које мобилна мрежа може понудити својим корисницима.
Канцеларија за комуникације Уједињеног Краљевства (Офцом), ентитет који додељује мобилне бројеве провајдерима британске мреже, наводи (преко Тхе Евенинг Стандарда) да има стриктну политику „користи или изгуби“ за плаћање по принципу „готов“ бројеве мобилних телефона. Водафоне прекида везу и рециклира телефонски број након само 90 дана без активности, док О2 то чини након 12 месеци.
У Сједињеним Државама, мрежни провајдери, укључујући Веризон и Т-Мобиле, дозвољавају клијентима да мењају и бирају доступне бројеве приказане на интерфејсу за промену бројева на мрежи путем своје веб локације или апликације. Доступни су милиони рециклираних телефонских бројева, а сваки дан их се све више гомила.
Рециклирани бројеви могу бити штетни за оне који су их првобитно поседовали, јер су многе платформе, укључујући Гмаил и Фацебоок, повезане са вашим мобилним бројем за опоравак лозинке или, ево уводне, двофакторске аутентификације.
Како вас 2ФА доводи у опасност
Студија на Универзитету Принцетон открила је како свако лако може добити рециклирани телефонски број и користити га за неколико уобичајених кибернетичких напада, укључујући преузимање рачуна, па чак и ускраћивање приступа рачуну држањем као таоца и тражењем откупнине у замену за приступ.
Према студији, нападач може пронаћи доступне бројеве и проверити да ли је неки од њих повезан са налозима на мрежи од претходних власника. Гледајући њихове мрежне профиле и проверавајући да ли је њихов стари број повезан, нападачи могу купити рециклирани број (само 15 УСД у Т-Мобилеу) и ресетовати лозинку на налозима. Користећи 2ФА, они ће тада примити и унети посебан код послан СМС -ом.
Истраживачи су тестирали 259 бројева до којих су дошли преко два америчка мобилна оператера и открили да их 171 има повезан налог на најмање једној од шест често коришћених веб локација: Амазон, АОЛ, Фацебоок, Гоогле, ПаиПал и Иахоо. То се назива „нападом обрнутог тражења“.
Истраживачи су открили још једну варијацију напада која је дозволила злонамерним актерима да отму рачуне без потребе за поништавањем лозинке. Коришћење услуге претраживања људи на мрежи БеенВерифиед, хакер је могао потражити адресу е -поште помоћу рециклираног телефонског броја, а затим проверити да ли су адресе е -поште биле умешане у кршење података коришћењем функције Да ли сам био заробљен ?. Да јесу, нападач би могао купити лозинку на црном тржишту сајбер криминала и провалити на налог са омогућеном 2ФА без потребе за поништавањем лозинке.
Да ствар буде гора, нападачи могу узети ваш рачун као таоца. Гадан трик је видети како хакер добија број како би се пријавио на неколико мрежних услуга за које је потребан телефонски број. Када заврше, они прекидају услугу како би се број могао рециклирати како би нови претплатник почео да га користи. Када нови корисник покуша да се пријави за исте услуге, хакер ће бити обавештен преко 2ФА и ускратити му начин коришћења услуге. Актер претње ће тада тражити од жртве да плати откупнину ако жели да користи ове мрежне услуге.
Коришћење 2ФА на овај начин је ужасно, али то не спречава да се то догоди. Т-Мобиле је прегледао истраживање још у децембру и сада подсећа претплатнике да ажурирају свој контакт број на банковним рачунима и профилима друштвених медија на својој страници за подршку за промену броја. Али то је све што превозник има моћ да уради, што значи да ће необавештени бити отворени за нападе.
Алтернативни начини коришћења 2ФА
Ако ништа друго, телефонски бројеви и 2ФА не желе добро. Добра вест је, међутим, да је сада на располагању више опција када се одлучите за употребу 2ФА, укључујући горе поменуте биометријске методе или апликације за аутентификацију.
Међутим, ове опције нису увек доступне, а понекад вам мрежне услуге пружају само две опције за 2ФА: ваш телефонски број или ваша адреса е -поште. Ако не желите да хакери претурају ваше приватне податке, најбоље је да се одлучите за аутентификацију е -поште. Наравно, постоје они који не користе увек своју е -пошту, па с временом често забораве своје лозинке. Без лозинке значи да нема начина за добијање кода за аутентификацију.
Да бисте то решили, најбоље је пронаћи менаџера лозинки. ЛастПасс је годинама био бесплатан захваљујући бесплатној услузи, али постоје и други кандидати које вреди проверити.
„Али шта ако већ користим свој телефонски број за 2ФА?“ Чујем да питате. Ако размишљате о промени телефонског броја, пре него што промените телефон, прекините везу са телефонским бројем са мрежним услугама на које је повезан. А, ако сте већ извршили промену, вреди времена да ажурирате своје рачуне како бисте се решили свих ожиљака (телефонских бројева) који чекају да вам задају ударе у леђа када то најмање очекујете.
Изгледи
Двофакторска аутентификација је свуда и ту је да остане. У ствари, Гоогле ће вас ускоро присилити да користите 2ФА приликом пријављивања, а технолошки гигант гарантује „сигурнију будућност без лозинки“. Ово није страшна идеја, али постоји могућност да многи људи користе своје телефонске бројеве као начин идентификације. Сигурни смо да се хакерима на ниском нивоу свиђа звук тога.
Да бисте спречили да се ово догоди, када 2ФА почне преузимати све интернетске платформе, све што требате учинити је, па, прочитајте наслов овог чланка и слиједите наше савјете.