Двухфакторная аутентификация везде. С того момента, как вы войдете в свою учетную запись Gmail и получите доступ к своим финансовым данным через PayPal, 2FA будет приветствовать вас как более безопасный способ входа в систему. Вы даже найдете его при настройке PS5 или Xbox Series X. Черт возьми. , скорее всего, вы уже привыкли к сегодняшнему дню.
Также известная как многофакторная аутентификация, 2FA - это дополнительный уровень безопасности, используемый практически каждой онлайн-платформой, который останавливает многих низкоуровневых хакеров, защищая всю вашу ценную личную информацию от взлома.
- Лучшие предложения телефонов в2022-2023 гг.
- Узнай лучшие смартфоны в2022-2023 годах
Увы, хакерские тактики постоянно развиваются, и все, что нужно, - это один хитрый киберпреступник, чтобы найти крошечную дыру в броне и забрать то, что когда-то было непонятным аккаунтом, сколько им душе угодно. Но вам не нужно быть мастером расшифровки кода, чтобы получить доступ к аккаунту ничего не подозревающей жертвы.
Фактически, согласно отчету Verizon о расследовании утечек данных за период с 21 по 2022 год, 61% из 5250 подтвержденных нарушений безопасности, проанализированных американским сетевым оператором, были связаны с украденными учетными данными. Конечно, цель многофакторной аутентификации - помешать злоумышленникам получить доступ к учетной записи, даже если они обнаружат сверхсекретный пароль.
Но так же, как Шрам оставил Муфасу на гибель в одном из величайших предательств всех времен, метод безопасности также может быть основной причиной киберпреступности. Настоящий предатель? Ваш старый номер телефона.
Чтобы лучше понять, как злоумышленники могут легко использовать против вас двухфакторную аутентификацию, лучше всего знать, что такое метод сетевой безопасности и как он работает. Если это поможет, думайте о своем старом номере телефона как о Шраме на протяжении всей статьи.
Что такое двухфакторная аутентификация?
Многофакторная аутентификация (MFA) - это метод цифровой аутентификации, используемый для подтверждения личности пользователя, чтобы позволить ему получить доступ к веб-сайту или приложению с помощью как минимум двух доказательств. Двухфакторная аутентификация, более известная как 2FA, является наиболее часто используемым методом.
Чтобы двухфакторная аутентификация работала, пользователь должен иметь как минимум две важные части учетных данных, чтобы войти в учетную запись (при многофакторном использовании обычно используется более трех различных деталей). Это означает, что если неавторизованный пользователь получит в свои руки пароль, ему все равно потребуется доступ к электронной почте или номеру телефона, привязанному к учетной записи, куда отправляется специальный код для дополнительного уровня защиты.
Например, банку потребуется имя пользователя и пароль, чтобы пользователь мог получить доступ к своей учетной записи, но ему также потребуется вторая форма аутентификации, такая как уникальный код или распознавание отпечатков пальцев, чтобы подтвердить личность пользователя. Этот второй фактор также можно использовать до совершения транзакции.
Как пояснила компания-разработчик программного обеспечения Ping Identity, необходимые учетные данные 2FA делятся на три разные категории: «что вы знаете», «что у вас есть» и «что вы есть». С точки зрения того, «что вы знаете» или ваших знаний, это сводится к вашим паролям, PIN-коду или ответу на секретный вопрос, например, «какова девичья фамилия вашей матери?» (то, что я, кажется, никогда не помню).
«То, что вы есть», возможно, является наиболее безопасной категорией, поскольку она подтверждает вашу личность по физическим характеристикам, уникальным только для вас. Обычно это наблюдается на смартфонах, таких как iPhone или телефон Samsung Galaxy, с использованием биометрической аутентификации, такой как отпечаток пальца или сканирование лица для получения доступа.
Что касается «того, что у вас есть», это относится к тому, что находится в вашем распоряжении, что может быть чем угодно, от интеллектуального устройства до смарт-карты. Как правило, этот метод означает получение на ваш телефон всплывающего уведомления по SMS, которое необходимо подтвердить перед получением доступа к учетной записи. Любой профессионал, использующий Google Gmail для бизнеса, столкнется с этой категорией.
К сожалению, эта последняя категория вызывает беспокойство, особенно когда вы добавляете переработку телефонных номеров.
Утилизация телефонных номеров
По данным Федеральной комиссии по связи (FCC), более 35 миллионов номеров в США отключены и снова становятся доступными путем переназначения их новому абоненту каждый год. Конечно, числа бесконечны и все такое, но существует не так много комбинаций из 10 или 11 цифр, которые мобильная сеть может предложить своим клиентам.
Управление связи Великобритании (Ofcom), организация, назначающая мобильные номера операторам сетей Великобритании, заявляет (через Evening Standard), что у него есть строгая политика «используй или потеряй» для оплаты по мере использования. мобильные номера. Vodafone отключает и повторно использует телефонный номер после 90 дней бездействия, в то время как O2 делает это через 12 месяцев.
В США сетевые провайдеры, в том числе Verizon и T-Mobile, позволяют клиентам изменять и выбирать доступные номера, отображаемые в интерактивных интерфейсах изменения номеров через свой веб-сайт или приложение. Доступны миллионы переработанных телефонных номеров, и с каждым днем их накапливается все больше.
Повторно использованные номера могут быть вредны для тех, кто изначально владел ими, поскольку многие платформы, включая Gmail и Facebook, привязаны к вашему номеру мобильного телефона для восстановления пароля или, что самое интересное, двухфакторной аутентификации.
Как 2FA подвергает вас риску
Исследование, проведенное в Принстонском университете, показало, насколько легко любой может получить переработанный номер телефона и использовать его для нескольких распространенных кибератак, включая захват учетных записей и даже отказ в доступе к учетной записи, удерживая ее в заложниках и запрашивая выкуп в обмен на доступ.
Согласно исследованию, злоумышленник может найти доступные номера и проверить, связаны ли какие-либо из них с онлайн-аккаунтами предыдущих владельцев. Просматривая свои онлайн-профили и проверяя, связан ли их старый номер, злоумышленники могут купить переработанный номер (всего за 15 долларов в T-Mobile) и сбросить пароль для учетных записей. Затем, используя 2FA, они получат и введут специальный код, отправленный по SMS.
Исследователи проверили 259 номеров, полученных через двух операторов мобильной связи США, и обнаружили, что у 171 из них была связанная учетная запись по крайней мере на одном из шести часто используемых веб-сайтов: Amazon, AOL, Facebook, Google, PayPal и Yahoo. Это называется «атакой с обратным поиском».
Исследователи обнаружили еще один вариант атаки, позволяющий злоумышленникам захватывать учетные записи без необходимости сбрасывать пароль. Использование службы поиска людей в Интернете BeenVerified, хакер может найти адрес электронной почты, используя переработанный номер телефона, а затем проверить, были ли эти адреса электронной почты причастны к утечке данных, используя Have I Been Pwned ?. В противном случае злоумышленник мог купить пароль на черном рынке киберпреступников и взломать учетную запись с поддержкой 2FA без необходимости сбрасывать пароль.
Что еще хуже, злоумышленники также могут взять вашу учетную запись в заложники. Уловка заключается в том, что хакер получает номер для регистрации в нескольких онлайн-сервисах, для которых требуется номер телефона. После завершения они прекращают обслуживание, чтобы номер можно было использовать повторно, чтобы новый подписчик начал его использовать. Когда новый пользователь попытается подписаться на те же услуги, хакер получит уведомление через 2FA и откажет ему в способе использования услуги. Затем злоумышленник попросит жертву заплатить выкуп, если она хочет использовать эти онлайн-сервисы.
Использование двухфакторной аутентификации таким образом ужасно, но это не останавливает его. Компания T-Mobile провела обзор исследования еще в декабре и теперь напоминает подписчикам обновить свой контактный номер на банковских счетах и в профилях в социальных сетях на своей странице поддержки по изменению номера. Но это все, что может сделать авианосец, а это значит, что те, кто не проинформированы, будут уязвимы для атак.
Альтернативные способы использования 2FA
Во всяком случае, номера телефонов и двухфакторная аутентификация не очень хорошо сочетаются. Однако хорошей новостью является то, что теперь есть больше возможностей, доступных при выборе использования 2FA, включая вышеупомянутые биометрические методы или приложения для аутентификации.
Однако эти параметры не всегда доступны, и иногда онлайн-сервисы предоставляют вам только два варианта для двухфакторной аутентификации: ваш номер телефона или ваш адрес электронной почты. Если вы не хотите, чтобы хакеры копались в вашей личной информации, лучше всего выбрать аутентификацию по электронной почте. Конечно, есть те, кто не всегда пользуется электронной почтой и со временем часто забывает свои пароли. Отсутствие пароля означает невозможность получения кода аутентификации.
Чтобы решить эту проблему, лучше всего найти менеджер паролей. LastPass был популярным в течение многих лет благодаря бесплатному сервису, но есть и другие претенденты, на которые стоит обратить внимание.
"Но что, если я уже использую свой номер телефона для двухфакторной аутентификации?" Я слышал, вы спросите. Если вы планируете сменить номер телефона, не забудьте отключить свой номер телефона от онлайн-сервисов, к которым он подключен. И, если вы уже сделали переход, стоит потратить время на обновление своих учетных записей, чтобы избавиться от любых шрамов (номеров телефонов), которые поджидают вас, чтобы нанести удар в спину, когда вы меньше всего этого ожидаете.
Перспективы
Двухфакторная аутентификация присутствует повсюду, и она останется навсегда. Фактически, Google скоро заставит вас использовать 2FA при входе в систему, а технический гигант ручается за «более безопасное будущее без паролей». Это неплохая идея, но многие люди могут использовать свои телефонные номера как способ идентификации. Мы уверены, что хакерам низкого уровня это нравится.
Чтобы этого не произошло, как только 2FA начнет захватывать все онлайн-платформы, все, что вам нужно сделать, это прочитать заголовок этой статьи и следовать нашим советам.