Uwierzytelnianie dwuskładnikowe jest wszędzie. Od momentu zalogowania się na konto Gmail do uzyskania dostępu do danych finansowych przez PayPal, funkcja 2FA jest po to, aby Cię powitać jako bezpieczniejszy sposób logowania. Znajdziesz go nawet podczas konfigurowania PS5 lub Xbox Series X. Heck , są szanse, że przyzwyczaiłeś się już do dzisiaj.
Znane również jako uwierzytelnianie wieloskładnikowe, 2FA jest dodatkową warstwą bezpieczeństwa – używaną przez praktycznie każdą platformę internetową – która powstrzymuje wielu hakerów niskiego poziomu, chroniąc wszystkie cenne prywatne informacje przed naruszeniem.
- Najlepsze oferty telefonów w latach 2022-2023
- Poznaj najlepsze smartfony w latach 2022-2023
Niestety, taktyki hakerskie nieustannie ewoluują i wystarczy jeden przebiegły cyberprzestępca, aby znaleźć małą dziurę w zbroi i do syta do woli plądrować to, co kiedyś było nieprzeniknionymi kontami. Ale nie musisz być geniuszem w odszyfrowywaniu kodu, aby uzyskać dostęp do konta niczego niepodejrzewającej ofiary.
W rzeczywistości, zgodnie z raportem Verizon Data Breach Investigations Report 2022-2023, 61% z 5250 potwierdzonych naruszeń bezpieczeństwa analizowanych przez amerykańskiego operatora sieci dotyczyło skradzionych danych uwierzytelniających. Oczywiście celem uwierzytelniania wieloskładnikowego jest uniemożliwienie złośliwym podmiotom dostępu do konta, nawet jeśli odkryją super tajne hasło.
Ale podobnie jak to, w jaki sposób Scar zostawił Mufasę, aby padł na swoją zgubę w jednej z największych zdrad wszechczasów, metoda bezpieczeństwa może być również główną przyczyną aktywności cyberprzestępców. Prawdziwy zdrajca? Twój stary numer telefonu.
Aby lepiej zrozumieć, w jaki sposób atakujący mogą łatwo użyć uwierzytelniania dwuskładnikowego przeciwko Tobie, najlepiej jest wiedzieć, czym jest metoda zabezpieczeń online i jak działa. Jeśli to pomoże, w tym artykule pomyśl o swoim starym numerze telefonu jako o Skazie.
Co to jest uwierzytelnianie dwuskładnikowe?
Uwierzytelnianie wieloskładnikowe (MFA) to cyfrowa metoda uwierzytelniania używana do potwierdzania tożsamości użytkownika, aby umożliwić mu dostęp do witryny lub aplikacji na podstawie co najmniej dwóch dowodów. Najczęściej stosowaną metodą jest uwierzytelnianie dwuskładnikowe, bardziej znane jako 2FA.
Aby funkcja 2FA działała, użytkownik musi mieć co najmniej dwa ważne dane uwierzytelniające, aby zalogować się na konto (z wieloczynnikowym zwykle obejmującym więcej niż trzy różne dane). Oznacza to, że jeśli nieautoryzowany użytkownik zdobędzie hasło, nadal będzie potrzebował dostępu do adresu e-mail lub numeru telefonu powiązanego z kontem, na które wysyłany jest specjalny kod zapewniający dodatkowy poziom ochrony.
Na przykład bank będzie wymagał nazwy użytkownika i hasła, aby użytkownik mógł uzyskać dostęp do swojego konta, ale potrzebuje również drugiej formy uwierzytelnienia, takiej jak unikalny kod lub rozpoznawanie odcisków palców w celu potwierdzenia tożsamości użytkownika. Ten drugi czynnik można również wykorzystać przed dokonaniem transakcji.
Jak wyjaśniła firma programistyczna Ping Identity, wymagane poświadczenia 2FA są podzielone na trzy różne kategorie: „co wiesz”, „co masz” i „czym jesteś”. Jeśli chodzi o „co wiesz” lub twoją wiedzę, sprowadza się to do haseł, numeru PIN lub odpowiedzi na pytanie zabezpieczające, takie jak „jakie jest nazwisko panieńskie twojej matki?” (coś, czego nigdy nie pamiętam).
„Kim jesteś” jest prawdopodobnie najbezpieczniejszą kategorią, ponieważ potwierdza twoją tożsamość na podstawie cechy fizycznej unikalnej tylko dla ciebie. Jest to zwykle widoczne na smartfonach, takich jak iPhone lub telefon Samsung Galaxy, które wykorzystują uwierzytelnianie biometryczne, takie jak odcisk palca lub skan twarzy, aby uzyskać dostęp.
Jeśli chodzi o „co masz”, odnosi się to do tego, co jest w twoim posiadaniu, co może być wszystkim, od urządzenia inteligentnego po kartę inteligentną. Ogólnie rzecz biorąc, ta metoda oznacza otrzymanie wyskakującego powiadomienia na telefon przez SMS, które należy potwierdzić przed uzyskaniem dostępu do konta. Dla wszystkich profesjonalistów korzystających z Google Gmail dla firm natkniesz się na tę kategorię.
Niestety, ta ostatnia kategoria jest powodem do niepokoju, zwłaszcza gdy dorzucisz recykling numerów telefonów.
Recykling numerów telefonów
Według Federalnej Komisji Łączności (FCC) ponad 35 milionów numerów w Stanach Zjednoczonych jest odłączanych i staje się ponownie dostępnych dzięki ponownemu przypisaniu ich do nowego abonenta każdego roku. Jasne, liczby są nieskończone, ale jest tylko tyle kombinacji dziesięcio- lub jedenastocyfrowych, które sieć komórkowa może zaoferować swoim klientom.
Brytyjskie Biuro Komunikacji (Ofcom), podmiot, który przypisuje numery telefonów komórkowych operatorom sieci w Wielkiej Brytanii, stwierdza (za pośrednictwem The Evening Standard), że ma ścisłą politykę „używaj lub strać” dla płatności zgodnie z rzeczywistym użyciem numery komórkowe. Vodafone rozłącza się i odzyskuje numer telefonu po zaledwie 90 dniach braku aktywności, podczas gdy O2 robi to po 12 miesiącach.
W Stanach Zjednoczonych dostawcy sieci, w tym Verizon i T-Mobile, pozwalają klientom zmieniać i wybierać dostępne numery wyświetlane w interfejsach zmiany numeru online za pośrednictwem ich witryny lub aplikacji. Dostępne są miliony numerów telefonów z recyklingu, a każdego dnia jest ich więcej.
Numery z recyklingu mogą być szkodliwe dla tych, którzy je pierwotnie posiadali, ponieważ wiele platform, w tym Gmail i Facebook, jest połączonych z Twoim numerem telefonu komórkowego w celu odzyskania hasła lub, co tu jest, uwierzytelniania dwuskładnikowego.
Jak 2FA naraża Cię na ryzyko
Badanie przeprowadzone na Uniwersytecie Princeton wykazało, jak łatwo każdy może uzyskać odzyskany numer telefonu i wykorzystać go do kilku typowych cyberataków, w tym do przejęcia konta, a nawet odmowy dostępu do konta poprzez przetrzymywanie go jako zakładnika i żądanie okupu w zamian za dostęp.
Jak wynika z badania, atakujący może znaleźć dostępne numery i sprawdzić, czy któryś z nich jest powiązany z kontami internetowymi poprzednich właścicieli. Przeglądając swoje profile online i sprawdzając, czy ich stary numer jest powiązany, atakujący mogą kupić numer z recyklingu (tylko 15 USD w T-Mobile) i zresetować hasło do kont. Korzystając z 2FA, otrzymają i wprowadzą specjalny kod wysłany SMS-em.
Badacze przetestowali 259 numerów, które uzyskali za pośrednictwem dwóch amerykańskich operatorów komórkowych i odkryli, że 171 z nich miało połączone konto na co najmniej jednej z sześciu powszechnie używanych witryn: Amazon, AOL, Facebook, Google, PayPal i Yahoo. Nazywa się to „atakem wyszukiwania wstecznego”.
Badacze odkryli inną odmianę ataku, która umożliwiała złośliwym cyberprzestępcom przejęcie kont bez konieczności resetowania hasła. Korzystanie z usługi wyszukiwania osób online BeenVerified, haker może wyszukać adres e-mail, korzystając z odzyskanego numeru telefonu, a następnie sprawdzić, czy adresy e-mail były zaangażowane w naruszenia danych, korzystając z funkcji Czy zostałem złapany?. Gdyby tak było, osoba atakująca mogłaby kupić hasło na czarnym rynku cyberprzestępców i włamać się na konto obsługujące 2FA bez konieczności resetowania hasła.
Co gorsza, atakujący mogą również wziąć zakładnika na Twoje konto. Paskudna sztuczka polega na tym, że haker uzyskuje numer, aby zarejestrować się w kilku usługach internetowych, które wymagają numeru telefonu. Po zakończeniu przerywają usługę, aby numer mógł zostać ponownie wykorzystany, aby nowy subskrybent mógł zacząć korzystać. Gdy nowy użytkownik spróbuje zarejestrować się w tych samych usługach, haker zostanie powiadomiony przez 2FA i odmówi mu możliwości korzystania z usługi. Zagrożony następnie poprosi ofiarę o zapłacenie okupu, jeśli chce korzystać z tych usług online.
Używanie 2FA w ten sposób jest okropne, ale to nie przeszkadza. T-Mobile dokonał przeglądu badania w grudniu, a teraz przypomina subskrybentom, aby zaktualizowali swój numer kontaktowy na kontach bankowych i profilach w mediach społecznościowych na swojej stronie wsparcia zmiany numeru. Ale to wszystko, co przewoźnik może zrobić, co oznacza, że ci, którzy nie są poinformowani, będą otwarci na ataki.
Alternatywne sposoby korzystania z 2FA
Jeśli już, numery telefonów i 2FA nie działają zbyt dobrze. Dobrą wiadomością jest jednak to, że teraz dostępnych jest więcej opcji, jeśli zdecydujesz się na użycie 2FA, w tym wyżej wymienione metody biometryczne lub aplikacje uwierzytelniające.
Jednak te opcje nie zawsze są dostępne, a czasami usługi online zapewniają tylko dwie opcje 2FA: numer telefonu lub adres e-mail. Jeśli nie chcesz, aby hakerzy przeszukiwali Twoje prywatne informacje, najlepiej wybrać uwierzytelnianie e-mail. Oczywiście są tacy, którzy nie zawsze używają swoich e-maili i z czasem często zapominają hasła. Brak hasła oznacza brak możliwości uzyskania kodu uwierzytelniającego.
Aby rozwiązać ten problem, najlepiej znaleźć menedżera haseł. LastPass od lat był wybierany dzięki bezpłatnej usłudze, ale są też inni rywale, których warto sprawdzić.
„Ale co, jeśli już używam swojego numeru telefonu do 2FA?” słyszę, jak pytasz. Jeśli zastanawiasz się nad zmianą numeru telefonu, przed dokonaniem zmiany upewnij się, że odłączyłeś swój numer telefonu od usług online, z którymi jest połączony. A jeśli już dokonałeś zmiany, warto poświęcić czas na aktualizację kont, aby pozbyć się wszelkich blizn (numerów telefonów), które czekają, aby dźgnąć cię w plecy, kiedy najmniej się tego spodziewasz.
Perspektywy
Uwierzytelnianie dwuskładnikowe jest wszędzie i nie zniknie. W rzeczywistości Google wkrótce zmusi Cię do korzystania z 2FA podczas logowania, a gigant technologiczny gwarantuje „bezpieczniejszą przyszłość bez haseł”. To nie jest straszny pomysł, ale wiele osób może wykorzystać swoje numery telefonów jako sposób na identyfikację. Jesteśmy pewni, że hakerzy niskiego poziomu lubią to.
Aby temu zapobiec, gdy 2FA zacznie przejmować wszystkie platformy internetowe, wystarczy, że przeczytasz tytuł tego artykułu i zastosujesz się do naszych rad.