Kaksivaiheinen todennus on kaikkialla. Siitä hetkestä lähtien, kun kirjaudut Gmail -tiliisi ja pääset käyttämään taloudellisia tietojasi PayPalin kautta, 2FA on tervehtimässä sinua turvallisempana kirjautumistapana. Löydät sen jopa PS5- tai Xbox Series X -asennuksen yhteydessä. , olet todennäköisesti jo tottunut tähän päivään.
2FA tunnetaan myös monivaiheisena todennuksena, ja se on ylimääräinen suojauskerros - jota käyttävät käytännössä kaikki online -alustat - joka estää monet matalan tason hakkerit heidän jälkeensä ja suojaa kaikkia arvokkaita yksityisiä tietojasi loukkaamiselta.
- Parhaat puhelutarjoukset vuosina 2022-2023
- Selvitä parhaat älypuhelimet vuosina 2022-2023
Valitettavasti hakkerointitaktiikka kehittyy ikuisesti, ja riittää, että yksi salakavala tietoverkkorikollinen löytää pienen reiän panssarista ja ryöstää heidän sydämensä sisällön. Mutta sinun ei tarvitse olla huijari koodin salauksen purkamisessa päästäksesi aavistamattoman uhrin tilille.
Vuosien 2022-2023 Verizon Data Breach Investigation Report -raportin mukaan 61% Yhdysvaltain verkko-operaattorin analysoiduista 5250 vahvistetusta tietoturvaloukkauksesta sisälsi varastettuja tunnistetietoja. Tietenkin monivaiheisen todennuksen tarkoitus on estää haitallisia toimijoita pääsemästä tilille, vaikka he löytävät supersalaisen salasanan.
Mutta aivan kuten Scar jätti Mufasan langettamaan tuhoonsa yhdessä kaikkien aikojen suurimmista petoksista, turvallisuusmenetelmä voi olla myös perimmäinen syy tietoverkkorikollisuuteen. Todellinen petturi? Vanha puhelinnumerosi.
Jotta saat paremman käsityksen siitä, kuinka hyökkääjät voivat helposti käyttää kaksivaiheista todennusta sinua vastaan, on parasta tietää, mikä online-suojausmenetelmä on ja miten se toimii. Jos se auttaa, ajattele vanhaa puhelinnumeroasi Scarina koko kappaleen aikana.
Mikä on kaksivaiheinen todennus?
Monivaiheinen todennus (MFA) on digitaalinen todennusmenetelmä, jota käytetään vahvistamaan käyttäjän henkilöllisyys, jotta hän voi käyttää verkkosivustoa tai sovellusta vähintään kahden todistuksen avulla. Kaksivaiheinen todennus, joka tunnetaan yleisemmin nimellä 2FA, on yleisimmin käytetty menetelmä.
Jotta 2FA toimisi, käyttäjällä on oltava vähintään kaksi tärkeää kirjautumistietoa, jotta hän voi kirjautua tilille (monikerroin, joka yleensä sisältää yli kolme eri tietoa). Tämä tarkoittaa sitä, että jos luvaton käyttäjä saa käsiinsä salasanan, he tarvitsevat edelleen pääsyn sähköpostiosoitteeseen tai puhelinnumeroon, joka on linkitetty tiliin, jolle lähetetään erityinen koodi lisäsuojaksi.
Esimerkiksi pankki vaatii käyttäjätunnuksen ja salasanan, jotta käyttäjä voi käyttää tiliään, mutta se tarvitsee myös toisen todentamismuodon, kuten yksilöllisen koodin tai sormenjälkitunnistuksen käyttäjän henkilöllisyyden vahvistamiseksi. Tätä toista tekijää voidaan käyttää myös ennen tapahtuman tekemistä.
Kuten ohjelmistoyritys Ping Identity selittää, 2FA: n vaaditut tunnistetiedot on jaettu kolmeen eri luokkaan: "mitä tiedät", "mitä sinulla on" ja "mitä olet". Mitä tiedät tai mitä tiedät, tämä johtuu salasanoistasi, PIN -numerostasi tai vastauksesta turvakysymykseen, kuten "mikä on äitisi tyttönimi?" (jotain mitä en ikinä muista.)
"Mitä olet" on luultavasti turvallisin luokka, koska se vahvistaa henkilöllisyytesi vain sinulle ominaisesta fyysisestä ominaisuudesta. Tämä näkyy yleensä älypuhelimissa, kuten iPhone- tai Samsung Galaxy -puhelimissa, jotka käyttävät biometristä todennusta, kuten sormenjälkeä tai kasvojen skannausta.
Mitä tulee ”mitä sinulla on”, se viittaa siihen, mitä sinulla on hallussasi, joka voi olla mitä tahansa älylaitteesta älykorttiin. Yleensä tämä menetelmä tarkoittaa ponnahdusilmoituksen saamista puhelimeesi tekstiviestillä, joka on vahvistettava ennen tilin saamista. Kaikille ammattilaisille, jotka käyttävät Google Gmailia yrityksille, olet törmännyt tähän luokkaan.
Valitettavasti tämä viimeinen luokka on huolestuttava, varsinkin kun heität puhelinnumeron kierrätyksen sekoitukseen.
Puhelinnumeron kierrätys
Federal Communications Commissionin (FCC) mukaan yli 35 miljoonaa numeroa Yhdysvalloissa katkaistaan ja ne ovat jälleen käytettävissä määrittämällä ne uudelle tilaajalle vuosittain. Toki numerot ovat loputtomia ja kaikki, mutta matkapuhelinverkko voi tarjota asiakkailleen vain niin paljon 10- tai 11-numeroisia yhdistelmiä.
Yhdistyneen kuningaskunnan viestintävirasto (Ofcom), yhteisö, joka määrittää matkapuhelinnumerot Yhdistyneen kuningaskunnan verkkopalveluntarjoajille, ilmoittaa (The Evening Standardin kautta), että sillä on tiukka "käytä tai menetä" -käytännöllinen jako-ero matkapuhelinnumerot. Vodafone katkaisee puhelimen numeron ja kierrättää sen vain 90 päivän käyttämättömyyden jälkeen, kun taas O2 tekee tämän 12 kuukauden kuluttua.
Yhdysvalloissa verkon tarjoajat, mukaan lukien Verizon ja T-Mobile, antavat asiakkaiden vaihtaa ja valita käytettävissä olevat numerot online-numeronvaihtorajapinnoissa verkkosivustonsa tai sovelluksensa kautta. Saatavilla on miljoonia kierrätettyjä puhelinnumeroita, ja niitä kertyy päivittäin enemmän.
Kierrätetyt numerot voivat olla haitallisia niille, jotka alun perin omistivat ne, koska monet alustat, mukaan lukien Gmail ja Facebook, on linkitetty matkapuhelinnumeroosi salasanan palauttamiseksi tai tässä on kaksivaiheinen todennus.
Kuinka 2FA asettaa sinut vaaraan
Princetonin yliopistossa tehdyssä tutkimuksessa havaittiin, kuinka helposti kuka tahansa voi saada kierrätetyn puhelinnumeron ja käyttää sitä useisiin yleisiin kyberhyökkäyksiin, mukaan lukien tilien haltuunotto ja jopa evätä pääsy tilille pitämällä sitä panttivangina ja pyytämällä lunnaita vastineeksi pääsystä.
Tutkimuksen mukaan hyökkääjä voi löytää käytettävissä olevia numeroita ja tarkistaa, liittyykö jokin niistä aiempien omistajien verkkotileihin. Tarkastelemalla heidän verkkoprofiileitaan ja tarkistamalla, onko heidän vanha numeronsa linkitetty, hyökkääjät voivat ostaa kierrätysnumeron (vain 15 dollaria T-Mobilella) ja nollata tilien salasanan. Käyttäjät käyttävät 2FA: ta ja vastaanottavat tekstiviestillä lähetetyn erikoiskoodin.
Tutkijat testasivat 259 numeroa, jotka he saivat kahden yhdysvaltalaisen matkapuhelinoperaattorin kautta, ja havaitsivat, että 171: llä heistä oli linkitetty tili ainakin yhdellä kuudesta yleisesti käytetystä verkkosivustosta: Amazon, AOL, Facebook, Google, PayPal ja Yahoo. Tätä kutsutaan käänteiseksi hakuhyökkäykseksi.
Tutkijat löysivät toisen muunnelman hyökkäyksestä, joka salli haitallisten toimijoiden kaapata tilit ilman salasanan vaihtamista. Ihmisten online -hakupalvelun BeenVerified käyttäminen, hakkeri voisi etsiä sähköpostiosoitetta käyttämällä kierrätettyä puhelinnumeroa ja tarkistaa sitten, oliko sähköpostiosoitteet olleet mukana tietomurtoissa käyttämällä Have I Been Pwned? -toimintoa. Jos he olisivat, hyökkääjä voisi ostaa salasanan verkkorikollisilta mustilta markkinoilta ja murtautua 2FA-yhteensopivaan tiliin ilman salasanan vaihtamista.
Pahentaaksesi tilannetta hyökkääjät voivat myös ottaa tilisi panttivangiksi. Ilkeä temppu näkee hakkerin hankkivan numeron rekisteröityäkseen useisiin verkkopalveluihin, jotka edellyttävät puhelinnumeroa. Valmistuttuaan he lopettavat palvelun, jotta numero voidaan kierrättää, jotta uusi tilaaja voi aloittaa käytön. Kun uusi käyttäjä yrittää rekisteröityä samoihin palveluihin, hakkeri saa ilmoituksen 2FA: n kautta ja kieltää heiltä tavan käyttää palvelua. Uhkatoimija pyytää uhria maksamaan lunnaat, jos he haluavat käyttää näitä verkkopalveluja.
2FA: n käyttäminen tällä tavalla on hirvittävää, mutta se ei estä sitä tapahtumasta. T-Mobile tarkasteli tutkimusta joulukuussa ja muistuttaa nyt tilaajia päivittämään yhteystietonsa pankkitileillä ja sosiaalisen median profiileilla numeronmuutoksen tukisivullaan. Mutta se on kaikki, mitä operaattorilla on valtaa tehdä, eli ne, joille ei ole ilmoitettu, ovat avoimia hyökkäyksille.
Vaihtoehtoisia tapoja käyttää 2FA: ta
Jos mitään, puhelinnumerot ja 2FA eivät geeliä kovin hyvin. Hyvä uutinen on kuitenkin se, että 2FA: n käyttämisessä on nyt enemmän vaihtoehtoja, mukaan lukien edellä mainitut biometriset menetelmät tai todennussovellukset.
Nämä vaihtoehdot eivät kuitenkaan ole aina käytettävissä, ja joskus verkkopalvelut tarjoavat vain kaksi vaihtoehtoa 2FA: lle: puhelinnumerosi tai sähköpostiosoitteesi. Jos et halua hakkereiden kurkistavan yksityisiin tietoihisi, on parasta valita sähköpostitodennus. Tietenkin on niitä, jotka eivät aina käytä sähköpostiaan, ja ajan myötä he voivat usein unohtaa salasanansa. Ei salasanaa, ei keinoa saada todennuskoodia.
Tämän ratkaisemiseksi on parasta löytää salasananhallinta. LastPass oli aikoinaan go-to vuosia ilmaisen tason palvelunsa ansiosta, mutta on myös muita kilpailijoita, jotka kannattaa tarkistaa.
"Mutta entä jos käytän jo puhelinnumeroani 2FA: ssa?" Kuulen, että kysyt. Jos harkitset puhelinnumerosi vaihtamista, irrota puhelinnumerosi linkitys online -palveluista, joihin se on yhdistetty, ennen kuin vaihdat. Ja jos olet jo vaihtanut, kannattaa käyttää aikasi päivittää tilisi päästäksesi eroon kaikista arpeista (puhelinnumeroista), jotka odottavat sinua selkäsaunaan, kun vähiten odotat sitä.
Näkymät
Kaksivaiheinen todennus on kaikkialla, ja se on jäädäkseen. Itse asiassa Google pakottaa sinut pian käyttämään 2FA: ta sisäänkirjautumisen yhteydessä, ja teknologian jättiläinen takaa "turvallisemman tulevaisuuden ilman salasanoja". Tämä ei ole kauhea ajatus, mutta monet ihmiset voivat käyttää puhelinnumeroitaan tunnistamiseen. Olemme varmoja, että matalan tason hakkerit pitävät sen äänestä.
Jotta tämä ei tapahtuisi, kun 2FA alkaa ottaa haltuunsa kaikki verkkoalustat, sinun tarvitsee vain lukea tämän artikkelin otsikko ja noudattaa neuvojamme.