الإعلانات

تعد المصادقة الثنائية (2FA) واحدة من أكثر التطورات التي تم الترويج لها على نطاق واسع في مجال الأمان عبر الإنترنت. في وقت سابق من هذا الأسبوع ، اندلعت الأخبار أنه قد تم اختراق.

جرانت بليجمان - مصمم و صاحب حساب Instagramgb - استيقظ ليجد حساب Gmail الخاص به قد تعرض للاختراق وسرق المتسللين مقبض Instagram الخاص به. كان هذا على الرغم من تمكين 2FA.

2FA: النسخة القصيرة

2FA هي استراتيجية لجعل الحسابات عبر الإنترنت أكثر صعوبة للاختراق. زميلي تينا كتب مقالة رائعة عن ما هو 2FA ولماذا يجب عليك استخدامه ما هي المصادقة الثنائية ، ولماذا يجب عليك استخدامهاالمصادقة الثنائية (2FA) هي طريقة أمان تتطلب طريقتين مختلفتين لإثبات هويتك. يستخدم عادة في الحياة اليومية. على سبيل المثال ، الدفع باستخدام بطاقة ائتمان لا يتطلب فقط البطاقة ، ... اقرأ أكثر ; إذا كنت ترغب في مقدمة أكثر تفصيلا يجب عليك التحقق من ذلك.

في إعداد المصادقة أحادي العامل (1FA) ، لا تستخدم سوى كلمة مرور. هذا يجعلها ضعيفة بشكل لا يصدق ؛ إذا كان لدى شخص ما كلمة المرور الخاصة بك ، فيمكنه تسجيل الدخول باسمك. لسوء الحظ ، هذا هو الإعداد الذي تستخدمه معظم مواقع الويب.

instagram viewer
2FA

يضيف 2FA عاملًا إضافيًا: عادةً يتم إرسال رمز لمرة واحدة إلى هاتفك عند تسجيل الدخول إلى حسابك من جهاز أو موقع جديد. لا يحتاج شخص ما يحاول اقتحام حسابك ليس فقط سرقة كلمة مرورك ، ولكن أيضًا ، نظريًا ، يمكنه الوصول إلى هاتفك عندما يحاول تسجيل الدخول. المزيد من الخدمات ، مثل Apple و Google ، تنفذ تطبيق 2FA قفل هذه الخدمات الآن مع اثنين من المصادقة عاملالمصادقة ثنائية العوامل هي الطريقة الذكية لحماية حساباتك على الإنترنت. دعونا نلقي نظرة على عدد قليل من الخدمات التي يمكنك تأمينها مع أمان أفضل. اقرأ أكثر .

قصة غرانت

قصة غرانت تشبه إلى حد بعيد قصة الكاتب الهاتفي مات هونان. ماتت حياته الرقمية بالكامل من قبل المتسللين الذين أرادوا الوصول إليها حساب Twitter الخاص به: لديه اسم المستخدمmat. غرانت ، بالمثل ، له حرفين gb حساب Instagram مما جعله هدفا.

gb_instagram

عليه حساب إيلو يصف جرانت كيف أنه ، طالما كان لديه حساب Instagram الخاص به ، كان يتعامل مع رسائل البريد الإلكتروني لإعادة تعيين كلمة المرور غير المرغوب فيها عدة مرات في الأسبوع. هذه علامة حمراء كبيرة يحاول شخص اختراقها في حسابك. في بعض الأحيان ، يحصل على رمز 2FA لحساب Gmail الذي تم إرفاقه بحساب Instagram الخاص به.

في صباح أحد الأيام كانت الأمور مختلفة. استيقظ على نص يخبره أنه قد تم تغيير كلمة مرور حساب Google الخاصة به. لحسن الحظ ، كان قادرًا على استعادة الوصول إلى حساب Gmail الخاص به ولكن المتسللين تصرفوا بسرعة وحذفوا حساب Instagram الخاص به ، وسرقوا مقبضgb لأنفسهم.

ما حدث لغرانت مثير للقلق بشكل خاص لأنه حدث على الرغم من استخدام 2FA.

مراكز و نقاط ضعف

اعتمد كل من اختراقات Mat و Grant على المتسللين باستخدام نقاط ضعف في خدمات أخرى للدخول إلى حساب مركز رئيسي: حساب Gmail الخاص بهم. من هذا ، تمكن المتسللون من القيام بإعادة تعيين كلمة مرور قياسية على أي حساب مرتبط بعنوان البريد الإلكتروني هذا. إذا تمكن أحد المتسللين من الوصول إلى Gmail الخاص بي ، فسيكون بإمكانهم الوصول إلى حسابي هنا في MakeUseOf وحساب Steam الخاص بي وكل شيء آخر.

حصيرة لديها كتب حسابًا مفصلاً ممتازًا عن كيفية اختراقه. يشرح كيف تمكن المتسللين من الوصول باستخدام نقاط ضعف في أمان أمازون للاستيلاء على حسابه ، واستخدام المعلومات لقد استفادوا من هناك للوصول إلى حساب Apple الخاص به ، ثم استخدموا ذلك للوصول إلى حساب Gmail الخاص به - والرقمية بالكامل الحياة.

كان وضع غرانت مختلفًا. لم يكن لقرصنة مات النجاح إذا كان قد تم تمكين 2FA على حساب Gmail الخاص به. في حالة جرانت ، تمكنوا من الالتفاف حولها. تفاصيل ما حدث للمنحة ليست واضحة ، لكن يمكن استنتاج بعض التفاصيل. الكتابة على حسابه Ello ، يقول جرانت:

لذلك ، بقدر ما أستطيع أن أقول ، بدأ الهجوم بالفعل مع مزود الهاتف الخليوي الخاص بي ، والذي سمح بطريقة أو بأخرى بمستوى الوصول أو الاجتماعي هندسة في حسابي على Google ، مما سمح للمتسللين بعد ذلك باستلام بريد إلكتروني لإعادة تعيين كلمة المرور من Instagram ، مما يتيح لهم التحكم في الحساب.

تمكين المتسللين إعادة توجيه الاتصال على حساب هاتفه المحمول. ما إذا كان هذا يسمح بإرسال رمز 2FA إليهم أم أنهم استخدموا طريقة أخرى للتغلب عليه فمن غير الواضح. في كلتا الحالتين ، من خلال المساس بحساب Grant للهاتف الخلوي ، تمكنوا من الوصول إلى Gmail الخاص به ومن ثم Instagram الخاص به.

تجنب هذا الموقف نفسك

أولاً ، إن الوجبات الرئيسية من هذا ليست أن 2FA مكسور ولا يستحق الإعداد. إنه إعداد أمان ممتاز يجب أن تستخدمه ؛ إنه ليس فقط مضاد للرصاص. بدلاً من استخدام رقم هاتفك للمصادقة ، يمكنك ذلك اجعله أكثر أمانًا باستخدام Authy أو Google Authenticator يمكن أن يكون التحقق من خطوتين أقل إزعاجًا؟ أربعة سرقة المأجورون مضمون لتحسين الأمنهل تريد أمان حساب ضد الرصاص؟ أقترح بشدة تمكين ما يسمى المصادقة "عاملين". اقرأ أكثر . إذا نجح المتسللون في Grant في إعادة توجيه نص التحقق ، فسيوقف ذلك.

ثانياً ، فكر في سبب رغبة الناس في اختراقك. إذا كنت تحمل أسماء مستخدمين أو أسماء نطاقات قيمة ، فأنت في خطر كبير. وبالمثل ، إذا أنت شخص مشهور فأنت أكثر عرضة للاختراق 4 طرق لتجنب التعرض للاختراق مثل المشاهيرالعراة المشاهير المتسربة في عام 2014 تصدرت عناوين الصحف حول العالم. تأكد من عدم حدوث ذلك لك بهذه النصائح. اقرأ أكثر . إذا لم تكن في أيٍّ من هذه المواقف ، فمن الأرجح أنك تتعرض للاختراق من قِبل شخص تعرفه أو في قرصنة انتهازية بعد تسرب كلمة المرور عبر الإنترنت. في كلتا الحالتين ، يكون أفضل دفاع كلمات مرور آمنة وفريدة لكل خدمة فردية. أنا شخصيا استخدام 1Password الذي وسيلة مفيدة لتأمين كلمات السر الخاصة بك واسمحوا 1Password لنظام التشغيل Mac إدارة كلمات المرور الخاصة بك والبيانات الآمنةعلى الرغم من ميزة iCloud Keychain الجديدة في OS X Mavericks ، ما زلت أفضل قوة إدارة كلمات المرور الخاصة بي في 1Password الكلاسيكية والشعبية الخاصة بـ AgileBits ، والآن في نسخته الرابعة. اقرأ أكثر ومتاح على كل منصة رئيسية.

1password

ثالثا ، تقليل تأثير حسابات المحور. تجعل حسابات Hub الحياة سهلة بالنسبة لك ولكن أيضًا للمتسللين. قم بإعداد حساب بريد إلكتروني سري واستخدم ذلك كحساب إعادة تعيين كلمة المرور لخدماتك الهامة عبر الإنترنت. قام Mat بذلك ، لكن المهاجمين كانوا قادرين على عرض الأحرف الأولى والأخيرة منه ؛ رأوا m••••[email protected]. كن أكثر إبداعًا قليلاً. يجب عليك استخدام هذا البريد الإلكتروني لحسابات مهمة أيضًا. خاصة تلك التي تحتوي على معلومات مالية مرفقة مثل Amazon. بهذه الطريقة ، حتى لو تمكن المتطفلون من الوصول إلى حساباتك المركزية ، فلن يتمكنوا من الوصول إلى الخدمات الهامة.

أخيرًا ، تجنب نشر المعلومات الحساسة عبر الإنترنت. عثر المتسللون في Mat على عنوانه باستخدام بحث WhoIs - الذي يخبرك بمعلومات حول من يملك موقعًا - والذي ساعدهم على الدخول في حساب Amazon الخاص به. من المحتمل أن يكون رقم خلية غرانت متاحًا في مكان ما عبر الإنترنت أيضًا. كانت كل من عناوين البريد الإلكتروني المحورية متاحة للجمهور مما أعطى المتسللين نقطة انطلاق.

أحب 2FA ولكن يمكنني أن أفهم كيف سيغير هذا رأي بعض الناس في الأمر. ما هي الخطوات التي تتخذها لحماية نفسك بعد الاختراقات Mat Honan و Grant Blakeman؟

اعتمادات الصورة: 1Password.