אימות דו-גורמי נמצא בכל מקום. מהרגע שאתה נכנס לחשבון Gmail שלך ועד לגשת לפרטים הפיננסיים שלך באמצעות PayPal, 2FA נמצא שם כדי לברך אותך כדרך בטוחה יותר להיכנס. תוכל אפילו למצוא אותו בעת הגדרת PS5 או Xbox Series X. לעזאזל. רוב הסיכויים שכבר התרגלת להיום.
2FA, הידועה גם בשם אימות מרובת גורמים, היא שכבת אבטחה נוספת - המשמשת כמעט כל פלטפורמה מקוונת - שמונעת הרבה האקרים ברמה נמוכה במסלול שלהם, ומגינים על הפרת כל המידע הפרטי היקר שלך.
- עסקאות הטלפון הטובות ביותר בשנים 2022-2023
- גלה את הסמארטפונים הטובים ביותר בשנים 2022-2023-2022
למרבה הצער, טקטיקות הפריצה מתפתחות לנצח, וכל מה שצריך הוא פושע רשת ערמומי אחד כדי למצוא חור זעיר בשריון ולגזול את מה שהיה פעם חשבונות בלתי חדירים לתוכן ליבם. אבל אתה לא צריך להיות חרטט בפענוח קוד כדי לקבל גישה לחשבון של קורבן תמימי.
למעשה, על פי דו"ח חקירות הפרת הנתונים של Verizon 2022-2023-2022, 61% מ -5,250 הפרות האבטחה שאושרו על ידי מפעילת הרשת האמריקאית ניתחו תעודות גנובות. כמובן, מטרת האימות הרב-גורמי היא למנוע משחקנים זדוניים לקבל גישה לחשבון גם אם הם מגלים סיסמה סודית-על.
אך בדומה לאופן שבו סקאר השאיר את מופאסה ליפול לאבדון באחת הבגידות הגדולות ביותר בכל הזמנים, גם שיטת האבטחה יכולה להיות הגורם השורש לפעילות פושעת ברשת. הבוגד האמיתי? מספר הטלפון הישן שלך.
לתחושה טובה יותר כיצד התוקפים יכולים בקלות להשתמש באימות דו-גורמי נגדך, עדיף לדעת מהי שיטת האבטחה המקוונת וכיצד היא פועלת. אם זה עוזר, תחשוב על מספר הטלפון הישן שלך כצלקת לאורך כל היצירה הזו.
מהו אימות דו-גורמי?
אימות רב-גורמי (MFA) היא שיטת אימות דיגיטלית המשמשת לאישור זהות המשתמש כדי לאפשר לו גישה לאתר או לאפליקציה באמצעות שתי עדויות לפחות. אימות דו-גורמי, הידוע יותר בשם 2FA, הוא השיטה הנפוצה ביותר.
על מנת ש- 2FA יעבוד, על המשתמש להיות בעל שני אישורים חשובים לפחות בכדי להיכנס לחשבון (כאשר לרוב רב גורמים כוללים יותר משלושה פרטים שונים). המשמעות היא שאם משתמש לא מורשה ישיג סיסמה, הוא עדיין יזדקק לגישה לדוא"ל או למספר טלפון המקושר לחשבון שאליו נשלח קוד מיוחד לרמת הגנה נוספת.
לדוגמה, בנק ידרוש שם משתמש וסיסמה על מנת שהמשתמש יוכל לגשת לחשבונו, אך הוא זקוק גם לצורת אימות שנייה כגון קוד ייחודי או זיהוי טביעות אצבע כדי לאשר את זהות המשתמש. ניתן להשתמש בגורם שני זה גם לפני ביצוע עסקה.
כפי שהוסבר על ידי חברת התוכנה Ping Identity, האישורים הנדרשים של 2FA מחולקים לשלוש קטגוריות שונות: "מה שאתה יודע", "מה שיש לך" ו"מה שאתה ". במונחים של "מה שאתה יודע", או הידע שלך, זה תלוי בסיסמאות שלך, במספר PIN או בתשובה לשאלת אבטחה כגון "מה שם הנעורים של אמא שלך?" (משהו שאני כנראה לא זוכר).
"מה שאתה" היא ללא ספק הקטגוריה הבטוחה ביותר, מכיוון שהיא מאשרת את זהותך מתכונה פיזית ייחודית רק לך. זה נראה בדרך כלל בסמארטפונים, כמו טלפון אייפון או סמסונג גלקסי, תוך שימוש באימות ביומטרי כגון טביעת אצבע או סריקת פנים כדי לקבל גישה.
באשר ל"מה שיש לך ", זה מתייחס למה שיש ברשותך, שיכול להיות כל דבר, החל ממכשיר חכם ועד כרטיס חכם. באופן כללי, שיטה זו פירושה קבלת הודעה מוקפצת בטלפון שלך באמצעות SMS שיש לאשר אותה לפני קבלת גישה לחשבון. לכל אנשי מקצוע שמשתמשים ב- Google Gmail לעסקים, נתקלתם בקטגוריה זו.
למרבה הצער, הקטגוריה האחרונה מעוררת דאגה, במיוחד כאשר אתה זורק מיחזור מספר טלפון לתערובת.
מיחזור מספר טלפון
על פי נתוני ועדת התקשורת הפדרלית (FCC), יותר מ -35 מיליון מספרים בארה"ב מנותקים והופכים זמינים שוב על ידי הקצאתם מחדש למנוי חדש מדי שנה. אין ספק שהמספרים הם אינסופיים והכל, אבל יש רק כל כך הרבה שילובים של 10 או 11 ספרות שרשת סלולרית יכולה להציע ללקוחותיה.
משרד התקשורת בבריטניה (אופקום), הגורם המקצה מספרי סלולר לספקי רשת בבריטניה, קובע (באמצעות The Evening Standard) כי יש לו מדיניות קפדנית של "השתמש בו או הפסיד אותו" עבור תשלום לפי התשלום. מספרי נייד. וודאפון מנתקת ומחזרת מספר טלפון לאחר 90 ימים בלבד ללא פעילות, ואילו O2 עושה זאת לאחר 12 חודשים.
בארה"ב, ספקי רשתות כולל Verizon ו- T-Mobile מאפשרים ללקוחות לשנות ולבחור את המספרים הזמינים המוצגים בממשקי שינוי מספרים מקוונים דרך האתר או האפליקציה שלהם. ישנם מיליוני מספרי טלפון ממוחזרים, כאשר יותר ויותר מצטברים מדי יום.
מספרים ממוחזרים יכולים להזיק למי שבבעלותם במקור, שכן פלטפורמות רבות, כולל Gmail ופייסבוק, מקושרות למספר הנייד שלך לשחזור סיסמה או, והנה האימות הדו-גורמי בועט.
כיצד 2FA מעמיד אותך בסיכון
מחקר שנערך באוניברסיטת פרינסטון גילה באיזו קלות כל אחד יכול להשיג מספר טלפון ממוחזר ולהשתמש בו למספר התקפות סייבר נפוצות, כולל השתלטות על חשבונות ואף מניעת גישה לחשבון על ידי החזקת אותו כבן ערובה ובקשה לכופר בתמורה לגישה.
על פי המחקר, תוקף יכול למצוא מספרים זמינים ולבדוק אם אחד מהם קשור לחשבונות מקוונים של בעלים קודמים. על ידי צפייה בפרופילים המקוונים שלהם ובדיקה אם המספר הישן שלהם מקושר, התוקפים יכולים לקנות את המספר הממוחזר (רק 15 $ ב- T-Mobile) ולאפס את הסיסמה בחשבונות. לאחר שימוש ב- 2FA, הם יקבלו ויכניסו את הקוד המיוחד שנשלח באמצעות SMS.
החוקרים בדקו 259 מספרים שהם השיגו באמצעות שני ספקים הניידים בארה"ב ומצאו כי ל -171 מהם יש חשבון מקושר לפחות באחד משישה אתרים נפוצים: אמזון, AOL, פייסבוק, גוגל, פייפאל ויאהו. זה נקרא "מתקפת חיפוש הפוכה".
חוקרים מצאו וריאציה נוספת של המתקפה שאפשרה לשחקנים זדוניים לחטוף חשבונות מבלי לאפס סיסמה. שימוש בשירותי חיפוש אנשים מקוונים BeenVerified, האקר יכול לחפש כתובת דוא"ל באמצעות מספר טלפון ממוחזר, ואז לבדוק אם כתובות הדוא"ל היו מעורבות בהפרות נתונים באמצעות האם קיבלתי הודעה ?. אם היה להם, התוקף יכול היה לקנות את הסיסמה בשוק השחור ברשת הפושעת ברשת ולפרוץ לחשבון המאופשר ל- 2FA ללא צורך לאפס סיסמה.
כדי להחמיר את המצב, התוקפים יכולים גם לקחת את חשבונך כבן ערובה. טריק מגעיל רואה האקר להשיג מספר כדי להירשם למספר שירותים מקוונים הדורשים מספר טלפון. לאחר השלמתם, הם מפסיקים את השירות כך שניתן יהיה למחזר את המספר למנוי חדש שיתחיל להשתמש בו. כאשר המשתמש החדש ינסה להירשם לאותם שירותים, ההאקר יקבל הודעה באמצעות 2FA, וימנע ממנו דרך להשתמש בשירות. לאחר מכן שחקן האיום יבקש מהקורבן לשלם כופר אם ירצה להשתמש בשירותים מקוונים אלה.
השימוש ב- 2FA בצורה זו הוא זוועה, אבל זה לא מונע מזה לקרות. T-Mobile בדקה את המחקר עוד בדצמבר, וכעת מזכירה למנויים לעדכן את מספר אנשי הקשר שלהם בחשבונות הבנק ובפרופילי המדיה החברתית בדף התמיכה שלה לשינוי מספרים. אבל זה כל מה שיש למוביל לעשות, כלומר אלה שלא יידעו יהיו פתוחים להתקפות.
דרכים חלופיות לשימוש ב- 2FA
אם כבר, מספרי טלפון ו- 2FA אינם מצליחים במיוחד. החדשות הטובות, עם זאת, הן שעכשיו ישנן אפשרויות נוספות זמינות בעת בחירה להשתמש ב- 2FA, כולל השיטות הביומטריות הנ"ל או אפליקציות אימות.
עם זאת, לא תמיד האפשרויות הללו זמינות, ולפעמים, שירותים מקוונים מספקים לך רק שתי אפשרויות עבור 2FA: מספר הטלפון שלך או כתובת הדוא"ל שלך. אם אינך רוצה שהאקרים יחטט במידע הפרטי שלך, עדיף לבחור באימות דוא"ל. כמובן, יש כאלה שלא תמיד משתמשים בדוא"ל שלהם, ועם הזמן, לעתים קרובות הם יכולים לשכוח את הסיסמאות שלהם. אין סיסמה, אין פירושה דרך להשיג קוד אימות.
כדי לפתור זאת, עדיף למצוא מנהל סיסמאות. LastPass שימש בעבר כ- go-to הודות לשירותו ברמה החופשית, אך ישנם מתמודדים אחרים שכדאי לבדוק.
"אבל מה אם אני כבר משתמש במספר הטלפון שלי עבור 2FA?" אני שומע אותך שואל. אם אתה שוקל לשנות את מספר הטלפון שלך, הקפד לנתק את מספר הטלפון שלך מהשירותים המקוונים שאליהם הוא מחובר לפני שתבצע את המעבר. ואם כבר ביצעת את המעבר, כדאי מאוד שתעדכן את החשבונות שלך כדי להיפטר מכל צלקות (מספרי טלפון) הממתינים כדי לסגור אותך כאשר אתה הכי פחות מצפה לזה.
הַשׁקָפָה
אימות דו-גורמי נמצא בכל מקום, והוא כאן כדי להישאר. למעשה, Google תאלץ אותך בקרוב להשתמש ב- 2FA בעת הכניסה, כאשר ענקית הטכנולוגיה תבטיח "עתיד בטוח יותר ללא סיסמאות". זה לא רעיון נורא, אבל יש פוטנציאל להרבה אנשים להשתמש במספרי הטלפון שלהם כדרך לזהות אותם. אנו בטוחים שהאקרים ברמה נמוכה אוהבים את הצליל של זה.
כדי למנוע מכל זה להתרחש, ברגע ש -2FA תתחיל להשתלט על כל הפלטפורמות המקוונות, כל שעליך לעשות הוא, ובכן, לקרוא את כותרת המאמר ולפעול לפי עצותינו.