PSA: Σταματήστε να χρησιμοποιείτε τον αριθμό τηλεφώνου σας για έλεγχο ταυτότητας δύο παραγόντων-ιδού γιατί

Πίνακας περιεχομένων:

Anonim

Ο έλεγχος ταυτότητας δύο παραγόντων είναι παντού. Από τη στιγμή που θα συνδεθείτε στο λογαριασμό σας στο Gmail μέχρι την πρόσβαση στα οικονομικά σας στοιχεία μέσω PayPal, το 2FA είναι εκεί για να σας υποδεχτεί ως πιο ασφαλή τρόπο σύνδεσης. Θα το βρείτε ακόμη και κατά τη ρύθμιση ενός PS5 ή Xbox Series X. , πιθανότατα, έχετε συνηθίσει ήδη σήμερα.
Γνωστό και ως έλεγχος ταυτότητας πολλαπλών παραγόντων, το 2FA είναι ένα επιπλέον επίπεδο ασφάλειας - που χρησιμοποιείται σχεδόν από κάθε διαδικτυακή πλατφόρμα - που σταματά πολλούς χάκερ χαμηλού επιπέδου στα ίχνη τους, προστατεύοντας όλες τις πολύτιμες ιδιωτικές πληροφορίες σας από παραβίαση.

  • Οι καλύτερες προσφορές τηλεφώνου το 2022-2023
  • Μάθετε τα καλύτερα smartphones το 2022-2023

Αλίμονο, οι τακτικές χάκερ εξελίσσονται για πάντα και το μόνο που χρειάζεται είναι ένας πονηρός εγκληματίας στον κυβερνοχώρο να βρει μια μικροσκοπική τρύπα στην πανοπλία και να λεηλατήσει ό, τι κάποτε ήταν αδιαπέραστοι στο περιεχόμενο της καρδιάς τους. Αλλά δεν χρειάζεται να είστε ψεύτης για την αποκρυπτογράφηση κώδικα για να αποκτήσετε πρόσβαση στον λογαριασμό ενός ανυποψίαστου θύματος.
Στην πραγματικότητα, σύμφωνα με την Έρευνα Έρευνας Παραβίασης Δεδομένων Verizon2020-2020, το 61% των 5.250 επιβεβαιωμένων παραβιάσεων ασφαλείας που ανέλυσε ο Αμερικανός διαχειριστής δικτύου αφορούσε κλεμμένα διαπιστευτήρια. Φυσικά, ο σκοπός της ταυτότητας πολλαπλών παραγόντων είναι να αποτρέψει τους κακόβουλους ηθοποιούς να αποκτήσουν πρόσβαση σε έναν λογαριασμό ακόμη και αν ανακαλύψουν έναν υπερ-μυστικό κωδικό πρόσβασης.

Αλλά όπως και το πώς ο Σκαρ άφησε τον Μουφάσα να πέσει στον χαμό του σε μια από τις μεγαλύτερες προδοσίες όλων των εποχών, η μέθοδος ασφάλειας μπορεί επίσης να είναι η βασική αιτία της εγκληματικότητας στον κυβερνοχώρο. Ο πραγματικός προδότης; Ο παλιός σας τηλεφωνικός αριθμός.
Για καλύτερη αίσθηση του τρόπου με τον οποίο οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν εύκολα τον έλεγχο ταυτότητας δύο παραγόντων εναντίον σας, είναι καλύτερο να γνωρίζετε ποια είναι η μέθοδος ασφάλειας στο διαδίκτυο και πώς λειτουργεί. Εάν βοηθά, σκεφτείτε τον παλιό σας αριθμό τηλεφώνου ως Scar σε όλο αυτό το κομμάτι.

Τι είναι ο έλεγχος ταυτότητας δύο παραγόντων;

Ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) είναι μια μέθοδος ψηφιακού ελέγχου ταυτότητας που χρησιμοποιείται για την επιβεβαίωση της ταυτότητας ενός χρήστη, ώστε να του επιτρέπεται η πρόσβαση σε έναν ιστότοπο ή εφαρμογή μέσω τουλάχιστον δύο τεκμηρίων. Ο έλεγχος ταυτότητας δύο παραγόντων, πιο γνωστός ως 2FA, είναι η πιο συχνά χρησιμοποιούμενη μέθοδος.
Για να λειτουργήσει το 2FA, ένας χρήστης πρέπει να διαθέτει τουλάχιστον δύο σημαντικά διαπιστευτήρια για να συνδεθεί σε έναν λογαριασμό (με πολλαπλούς παράγοντες που συνήθως περιλαμβάνουν περισσότερες από τρεις διαφορετικές λεπτομέρειες). Αυτό σημαίνει ότι εάν ένας μη εξουσιοδοτημένος χρήστης πάρει έναν κωδικό πρόσβασης, θα εξακολουθήσει να χρειάζεται πρόσβαση σε ένα email ή αριθμό τηλεφώνου που είναι συνδεδεμένος με τον λογαριασμό όπου αποστέλλεται ένας ειδικός κωδικός για ένα επιπλέον επίπεδο προστασίας.
Για παράδειγμα, μια τράπεζα θα απαιτήσει όνομα χρήστη και κωδικό πρόσβασης για να έχει πρόσβαση ένας χρήστης στο λογαριασμό του, αλλά χρειάζεται επίσης μια δεύτερη μορφή ελέγχου ταυτότητας, όπως έναν μοναδικό κωδικό ή αναγνώριση δακτυλικών αποτυπωμάτων για να επιβεβαιώσει την ταυτότητα ενός χρήστη. Αυτός ο δεύτερος παράγοντας μπορεί επίσης να χρησιμοποιηθεί πριν πραγματοποιηθεί μια συναλλαγή.
Όπως εξηγείται από την εταιρεία λογισμικού Ping Identity, τα απαιτούμενα διαπιστευτήρια της 2FA χωρίζονται σε τρεις διαφορετικές κατηγορίες: «αυτό που ξέρεις», «αυτό που έχεις» και «αυτό που είσαι». Όσον αφορά το "τι γνωρίζετε" ή τις γνώσεις σας, αυτό οφείλεται στους κωδικούς πρόσβασης, τον αριθμό PIN ή την απάντηση σε μια ερώτηση ασφαλείας όπως "ποιο είναι το πατρικό όνομα της μητέρας σας;" (κάτι που δεν φαίνεται να θυμάμαι ποτέ).

Το «τι είσαι» είναι αναμφισβήτητα η πιο ασφαλής κατηγορία, καθώς επιβεβαιώνει την ταυτότητά σας από ένα φυσικό χαρακτηριστικό μοναδικό μόνο για εσάς. Αυτό φαίνεται συνήθως σε smartphone, όπως iPhone ή τηλέφωνο Samsung Galaxy, χρησιμοποιώντας βιομετρική πιστοποίηση όπως δακτυλικό αποτύπωμα ή σάρωση προσώπου για να αποκτήσετε πρόσβαση.
Όσο για το "τι έχετε", αυτό αναφέρεται σε αυτό που έχετε στην κατοχή σας, το οποίο μπορεί να είναι οτιδήποτε, από μια έξυπνη συσκευή έως μια έξυπνη κάρτα. Γενικά, αυτή η μέθοδος σημαίνει να λαμβάνετε μια αναδυόμενη ειδοποίηση στο τηλέφωνό σας μέσω SMS που πρέπει να επιβεβαιωθεί πριν αποκτήσετε πρόσβαση σε έναν λογαριασμό. Για τυχόν επαγγελματίες που χρησιμοποιούν το Google Gmail για επιχειρήσεις, θα έχετε συναντήσει αυτήν την κατηγορία.
Δυστυχώς, αυτή η τελευταία κατηγορία προκαλεί ανησυχία, ειδικά όταν ρίχνετε την ανακύκλωση αριθμών τηλεφώνου στο μείγμα.

Ανακύκλωση αριθμού τηλεφώνου

Σύμφωνα με την Ομοσπονδιακή Επιτροπή Επικοινωνιών (FCC), περισσότεροι από 35 εκατομμύρια αριθμοί στις ΗΠΑ αποσυνδέονται και γίνονται ξανά διαθέσιμοι, αναθέτοντάς τους σε νέο συνδρομητή κάθε χρόνο. Σίγουρα, οι αριθμοί είναι άπειροι και όλοι, αλλά υπάρχουν μόνο τόσοι πολλοί συνδυασμοί 10 ή 11 ψηφίων που μπορεί να προσφέρει ένα δίκτυο κινητής τηλεφωνίας στους πελάτες του.

Το Γραφείο Επικοινωνιών του Ηνωμένου Βασιλείου (Ofcom), η οντότητα που εκχωρεί αριθμούς κινητής τηλεφωνίας σε παρόχους δικτύου του Ηνωμένου Βασιλείου, δηλώνει (μέσω του The Evening Standard) ότι έχει μια αυστηρή πολιτική "χρησιμοποιήστε το ή χάστε το" για πληρωμή. αριθμούς κινητών. Η Vodafone αποσυνδέει και ανακυκλώνει έναν αριθμό τηλεφώνου μετά από μόλις 90 ημέρες χωρίς δραστηριότητα, ενώ το O2 το κάνει αυτό μετά από 12 μήνες.
Στις ΗΠΑ, οι πάροχοι δικτύου, συμπεριλαμβανομένων των Verizon και T-Mobile, επιτρέπουν στους πελάτες να αλλάζουν και να επιλέγουν τους διαθέσιμους αριθμούς που εμφανίζονται στις διαδικτυακές διεπαφές αλλαγής αριθμών μέσω του ιστότοπου ή της εφαρμογής τους. Υπάρχουν εκατομμύρια ανακυκλωμένοι αριθμοί τηλεφώνου, με περισσότερους να συσσωρεύονται κάθε μέρα.
Οι ανακυκλωμένοι αριθμοί μπορεί να είναι επιβλαβείς για όσους τους είχαν στην κατοχή τους, καθώς πολλές πλατφόρμες, συμπεριλαμβανομένου του Gmail και του Facebook, συνδέονται με τον αριθμό του κινητού σας για ανάκτηση κωδικού πρόσβασης ή, και εδώ είναι το kicker, έλεγχος ταυτότητας δύο παραγόντων.

Πώς το 2FA σας θέτει σε κίνδυνο

Μια μελέτη στο Πανεπιστήμιο του Πρίνστον ανακάλυψε πόσο εύκολα μπορεί κάποιος να αποκτήσει έναν ανακυκλωμένο αριθμό τηλεφώνου και να τον χρησιμοποιήσει για αρκετές κοινές κυβερνοεπιθέσεις, συμπεριλαμβανομένων εξαγορών λογαριασμών και ακόμη και άρνησης πρόσβασης σε λογαριασμό κρατώντας τον όμηρο και ζητώντας λύτρα σε αντάλλαγμα πρόσβασης.

Σύμφωνα με τη μελέτη, ένας εισβολέας μπορεί να βρει διαθέσιμους αριθμούς και να ελέγξει εάν κάποιος από αυτούς σχετίζεται με διαδικτυακούς λογαριασμούς από προηγούμενους κατόχους. Προβάλλοντας τα διαδικτυακά προφίλ τους και ελέγχοντας αν ο παλιός τους αριθμός είναι συνδεδεμένος, οι επιτιθέμενοι μπορούν να αγοράσουν τον ανακυκλωμένο αριθμό (μόλις 15 $ στην T-Mobile) και να επαναφέρουν τον κωδικό πρόσβασης στους λογαριασμούς. Χρησιμοποιώντας το 2FA, θα λάβουν και θα εισαγάγουν τον ειδικό κωδικό που αποστέλλεται μέσω SMS.
Οι ερευνητές δοκίμασαν 259 αριθμούς που έλαβαν μέσω των δύο αμερικανικών φορέων κινητής τηλεφωνίας και διαπίστωσαν ότι 171 από αυτούς είχαν συνδεδεμένο λογαριασμό σε τουλάχιστον έναν από τους έξι ιστότοπους που χρησιμοποιούνται συνήθως: Amazon, AOL, Facebook, Google, PayPal και Yahoo. Αυτό ονομάζεται "επίθεση αντίστροφης αναζήτησης".

Οι ερευνητές βρήκαν μια άλλη παραλλαγή της επίθεσης που επέτρεπε σε κακόβουλους ηθοποιούς να παρασύρουν λογαριασμούς χωρίς να χρειάζεται να επαναφέρουν τον κωδικό πρόσβασης. Χρήση της διαδικτυακής υπηρεσίας αναζήτησης ατόμων BeenVerified, ένας χάκερ θα μπορούσε να αναζητήσει μια διεύθυνση ηλεκτρονικού ταχυδρομείου χρησιμοποιώντας έναν ανακυκλωμένο αριθμό τηλεφώνου και στη συνέχεια να ελέγξει εάν οι διευθύνσεις ηλεκτρονικού ταχυδρομείου είχαν εμπλακεί σε παραβιάσεις δεδομένων χρησιμοποιώντας το Have I Been Pwned ;. Αν το είχαν, ο εισβολέας θα μπορούσε να αγοράσει τον κωδικό πρόσβασης σε μια μαύρη αγορά εγκληματιών στον κυβερνοχώρο και να εισβάλει σε έναν λογαριασμό με δυνατότητα 2FA χωρίς να χρειάζεται επαναφορά κωδικού πρόσβασης.

Για να γίνουν τα πράγματα χειρότερα, οι επιτιθέμενοι μπορούν επίσης να πάρουν όμηρο τον λογαριασμό σας. Ένα δυσάρεστο κόλπο βλέπει έναν χάκερ να λαμβάνει έναν αριθμό για να εγγραφεί σε διάφορες διαδικτυακές υπηρεσίες που απαιτούν έναν αριθμό τηλεφώνου. Μόλις ολοκληρωθεί, διακόπτουν την υπηρεσία, ώστε ο αριθμός να μπορεί να ανακυκλωθεί για να αρχίσει να χρησιμοποιεί ένας νέος συνδρομητής. Όταν ο νέος χρήστης προσπαθήσει να εγγραφεί για τις ίδιες υπηρεσίες, ο χάκερ θα ειδοποιηθεί μέσω 2FA και θα του αρνηθεί τον τρόπο χρήσης της υπηρεσίας. Ο φορέας απειλής θα ζητήσει στη συνέχεια το θύμα να πληρώσει λύτρα εάν θέλει να χρησιμοποιήσει αυτές τις διαδικτυακές υπηρεσίες.
Η χρήση του 2FA με αυτόν τον τρόπο είναι φρικτή, αλλά αυτό δεν το εμποδίζει να συμβεί. Η T-Mobile εξέτασε την έρευνα τον Δεκέμβριο και τώρα υπενθυμίζει στους συνδρομητές να ενημερώσουν τον αριθμό επικοινωνίας τους σε τραπεζικούς λογαριασμούς και προφίλ κοινωνικών μέσων στη σελίδα υποστήριξης αλλαγής αριθμού. Αλλά αυτό είναι το μόνο που μπορεί να κάνει ο μεταφορέας, πράγμα που σημαίνει ότι όσοι δεν είναι ενημερωμένοι θα είναι ανοιχτοί σε επιθέσεις.

Εναλλακτικοί τρόποι χρήσης του 2FA

Αν μη τι άλλο, οι αριθμοί τηλεφώνου και το 2FA δεν πηγαίνουν πολύ καλά. Τα καλά νέα, ωστόσο, είναι ότι υπάρχουν πλέον περισσότερες διαθέσιμες επιλογές όταν επιλέξετε να χρησιμοποιήσετε το 2FA, συμπεριλαμβανομένων των προαναφερθέντων βιομετρικών μεθόδων ή εφαρμογών ελέγχου ταυτότητας.

Ωστόσο, αυτές οι επιλογές δεν είναι πάντα διαθέσιμες και μερικές φορές, οι διαδικτυακές υπηρεσίες σας παρέχουν μόνο δύο επιλογές για το 2FA: τον αριθμό τηλεφώνου σας ή τη διεύθυνση ηλεκτρονικού ταχυδρομείου σας. Εάν δεν θέλετε οι χάκερ να ξεφυλλίζουν τις προσωπικές σας πληροφορίες, είναι καλύτερο να επιλέξετε τον έλεγχο ταυτότητας μέσω ηλεκτρονικού ταχυδρομείου. Φυσικά, υπάρχουν εκείνοι που δεν χρησιμοποιούν πάντα τα email τους και με τον καιρό, συχνά μπορούν να ξεχάσουν τους κωδικούς πρόσβασής τους. Χωρίς κωδικό πρόσβασης, δεν σημαίνει κανέναν τρόπο απόκτησης κωδικού ελέγχου ταυτότητας.
Για να το λύσετε, είναι καλύτερο να βρείτε έναν διαχειριστή κωδικών πρόσβασης. Το LastPass ήταν το επίκαιρο για χρόνια χάρη στην δωρεάν υπηρεσία, αλλά υπάρχουν άλλοι υποψήφιοι που αξίζει να δείτε.
"Τι γίνεται όμως αν χρησιμοποιώ ήδη τον αριθμό τηλεφώνου μου για 2FA;" Ακούω να ρωτάς. Εάν σκέφτεστε να αλλάξετε τον αριθμό τηλεφώνου σας, βεβαιωθείτε ότι έχετε αποσυνδέσει τον αριθμό τηλεφώνου σας από τις διαδικτυακές υπηρεσίες στις οποίες είναι συνδεδεμένο, προτού πραγματοποιήσετε την αλλαγή. Και, αν έχετε κάνει ήδη την αλλαγή, αξίζει τον κόπο να ενημερώσετε τους λογαριασμούς σας για να απαλλαγείτε από τυχόν ουλές (αριθμούς τηλεφώνου) που σας περιμένουν για να σας υποστηρίξουν όταν δεν το περιμένετε.

Αποψη

Ο έλεγχος ταυτότητας δύο παραγόντων είναι παντού και είναι εδώ για να μείνει. Στην πραγματικότητα, η Google σύντομα θα σας αναγκάσει να χρησιμοποιήσετε το 2FA κατά τη σύνδεση, με τον τεχνολογικό κολοσσό να εγγυάται για ένα «ασφαλέστερο μέλλον χωρίς κωδικούς πρόσβασης». Αυτή δεν είναι μια τρομερή ιδέα, αλλά υπάρχει η δυνατότητα για πολλούς ανθρώπους να χρησιμοποιούν τους αριθμούς τηλεφώνου τους ως τρόπο αναγνώρισης. Είμαστε σίγουροι ότι σε χάκερ χαμηλού επιπέδου αρέσει ο ήχος αυτού του ήχου.
Για να μην συμβεί κάτι τέτοιο, μόλις η 2FA αρχίσει να αναλαμβάνει όλες τις διαδικτυακές πλατφόρμες, το μόνο που έχετε να κάνετε είναι να διαβάσετε τον τίτλο αυτού του άρθρου και να ακολουθήσετε τις συμβουλές μας.