Iklan
Otentikasi dua faktor (2FA) adalah salah satu kemajuan keamanan online yang paling dipuji. Awal minggu ini, berita pecah bahwa itu telah diretas.
Grant Blakeman - seorang desainer dan pemilik akun Instagram @gb - bangun untuk menemukan akun Gmailnya telah dikompromikan dan hacker telah mencuri pegangan Instagram-nya. Ini meskipun memiliki 2FA diaktifkan.
2FA: Versi Singkat
2FA adalah strategi untuk membuat akun daring lebih sulit diretas. Rekan saya, Tina, telah menulis artikel yang bagus tentang apa 2FA itu dan mengapa Anda harus menggunakannya Apa Otentikasi Dua Faktor, Dan Mengapa Anda Harus MenggunakannyaOtentikasi dua faktor (2FA) adalah metode keamanan yang membutuhkan dua cara berbeda untuk membuktikan identitas Anda. Ini biasa digunakan dalam kehidupan sehari-hari. Misalnya membayar dengan kartu kredit tidak hanya membutuhkan kartu, ... Baca lebih lajut ; jika Anda ingin pengantar yang lebih rinci, Anda harus memeriksanya.
Dalam pengaturan autentikasi satu faktor khas (1FA) Anda hanya menggunakan kata sandi. Ini membuatnya sangat rentan; jika seseorang memiliki kata sandi Anda, mereka dapat masuk seperti Anda. Sayangnya, ini adalah pengaturan yang digunakan sebagian besar situs web.
2FA menambahkan faktor tambahan: biasanya kode satu kali dikirim ke ponsel Anda ketika Anda masuk ke akun Anda dari perangkat atau lokasi baru. Seseorang yang mencoba masuk ke akun Anda tidak hanya perlu mencuri kata sandi Anda tetapi juga, secara teori, memiliki akses ke telepon Anda ketika mereka mencoba masuk. Lebih banyak layanan, seperti Apple dan Google, menerapkan 2FA Mengunci Layanan Ini Sekarang Dengan Otentikasi Dua FaktorOtentikasi dua faktor adalah cara cerdas untuk melindungi akun online Anda. Mari kita lihat beberapa layanan yang dapat Anda kunci dengan keamanan yang lebih baik. Baca lebih lajut .
Grant's Story
Kisah Grant sangat mirip dengan Wired writer Mat Honan. Mat telah menghancurkan seluruh kehidupan digitalnya oleh peretas yang ingin mendapatkan akses akun Twitter-nya: ia memiliki nama pengguna @mat. Grant, sama halnya, memiliki dua huruf @gb akun Instagram yang membuatnya menjadi target.
Di tangannya Akun Ello Grant menjelaskan bagaimana, selama dia memiliki akun Instagram-nya, dia telah berurusan dengan email pengaturan ulang kata sandi yang tidak diminta beberapa kali seminggu. Itu adalah bendera merah besar yang seseorang coba peretas ke akun Anda. Sesekali dia mendapatkan kode 2FA untuk akun Gmail yang dilampirkan ke akun Instagram-nya.
Suatu pagi keadaannya berbeda. Dia bangun ke sebuah teks yang mengatakan kepadanya kata sandi Akun Google-nya telah diubah. Untungnya, ia bisa mendapatkan kembali akses ke akun Gmailnya, tetapi para peretas itu bertindak cepat dan menghapus akun Instagram-nya, mencuri pegangan @gb untuk diri mereka sendiri.
Apa yang terjadi pada Grant sangat mengkhawatirkan karena itu terjadi walaupun dia menggunakan 2FA.
Hub dan Poin Lemah
Baik retas Mat dan Grant bergantung pada peretas yang menggunakan titik lemah di layanan lain untuk masuk ke akun hub utama: akun Gmail mereka. Dari ini, para peretas dapat melakukan reset kata sandi standar pada setiap akun yang terkait dengan alamat email itu. Jika seorang hacker mendapatkan akses ke Gmail saya, mereka akan bisa mendapatkan akses ke akun saya di MakeUseOf di sini, akun Steam saya dan yang lainnya.
Mat punya menulis akun yang sangat bagus, detail tentang bagaimana ia diretas. Ini menjelaskan bagaimana para peretas memperoleh akses menggunakan titik-titik lemah dalam keamanan Amazon untuk mengambil alih akunnya, menggunakan informasi tersebut mereka memperoleh dari sana untuk mengakses akun Apple-nya dan kemudian menggunakannya untuk masuk ke akun Gmail-nya - dan seluruh digitalnya kehidupan.
Situasi Grant berbeda. Retasan Mat tidak akan berfungsi jika dia mengaktifkan 2FA di akun Gmail-nya. Dalam kasus Grant, mereka menyiasatinya. Spesifik dari apa yang terjadi pada Grant tidak jelas tetapi beberapa detail dapat disimpulkan. Menulis di akun Ello-nya, Grant mengatakan:
Jadi, sejauh yang saya tahu, serangan itu sebenarnya dimulai dengan penyedia ponsel saya, yang entah bagaimana memungkinkan beberapa tingkat akses atau sosial rekayasa ke akun Google saya, yang kemudian memungkinkan para peretas untuk menerima email setel ulang kata sandi dari Instagram, memberi mereka kendali Akun.
Para peretas mengaktifkan penerusan panggilan pada akun ponselnya. Apakah ini memungkinkan kode 2FA dikirim kepada mereka atau mereka menggunakan metode lain untuk menyiasatinya, tidak jelas. Either way, dengan mengkompromikan akun ponsel Grant, mereka memperoleh akses ke Gmail-nya dan kemudian Instagram-nya.
Menghindari Situasi Ini Sendiri
Pertama, kunci utama dari ini bukanlah bahwa 2FA rusak dan tidak layak untuk dibuat. Ini adalah pengaturan keamanan yang sangat baik yang harus Anda gunakan; hanya saja tidak tahan peluru. Daripada menggunakan nomor telepon Anda untuk otentikasi, Anda bisa membuatnya lebih aman dengan menggunakan Authy atau Google Authenticator Bisakah Verifikasi Dua Langkah Menjadi Lebih Tidak Mengiritasi? Empat Rahasia Hacks Dijamin untuk Meningkatkan KeamananApakah Anda ingin keamanan akun anti peluru? Saya sangat menyarankan untuk mengaktifkan apa yang disebut otentikasi "dua faktor". Baca lebih lajut . Jika peretas Grant berhasil mengarahkan ulang teks verifikasi, ini akan menghentikannya.
Kedua, pertimbangkan mengapa orang ingin meretas Anda. Jika Anda memiliki nama pengguna atau nama domain yang berharga, Anda berisiko tinggi. Begitu pula jika Anda seorang selebritas yang kemungkinan besar akan diretas 4 Cara Untuk Menghindari Peretasan Seperti SelebritiTelanjang selebriti yang bocor di tahun 2014 menjadi berita utama di seluruh dunia. Pastikan itu tidak terjadi pada Anda dengan tips ini. Baca lebih lajut . Jika Anda tidak berada dalam situasi ini, Anda cenderung diretas oleh seseorang yang Anda kenal atau dalam peretasan oportunistik setelah kata sandi Anda bocor secara online. Dalam kedua kasus, pertahanan terbaik adalah aman, kata sandi unik untuk setiap layanan individu. Saya pribadi menggunakan 1 kata sandi yang mana cara yang berguna untuk mengamankan kata sandi Anda Biarkan 1Password untuk Mac Mengelola Kata Sandi Anda & Mengamankan DataMeskipun fitur Keychain iCloud baru di OS X Mavericks, saya masih lebih suka kekuatan mengelola kata sandi saya di 1Password klasik dan populer AgileBits, sekarang dalam versi ke-4. Baca lebih lajut dan tersedia di setiap platform utama.
Ketiga, meminimalkan dampak akun hub. Akun Hub memudahkan Anda, tetapi juga peretas. Siapkan akun email rahasia dan gunakan itu sebagai akun setel ulang kata sandi untuk layanan online penting Anda. Mat telah melakukan ini tetapi para penyerang dapat melihat huruf pertama dan terakhirnya; mereka melihat m•••• [email protected]. Jadilah sedikit lebih imajinatif. Anda juga harus menggunakan email ini untuk akun-akun penting. Terutama yang memiliki informasi keuangan terlampir seperti Amazon. Dengan begitu, bahkan jika peretas mendapatkan akses ke akun hub Anda, mereka tidak akan mendapatkan akses ke layanan penting.
Akhirnya, hindari memposting informasi sensitif secara online. Peretas Mat menemukan alamatnya menggunakan pencarian WhoIs - yang memberi tahu Anda informasi tentang siapa yang memiliki situs - yang membantu mereka masuk ke akun Amazon-nya. Nomor sel Grant kemungkinan juga tersedia di suatu tempat online. Kedua alamat email hub mereka tersedia untuk umum yang memberikan titik awal bagi peretas.
Saya suka 2FA tapi saya bisa mengerti bagaimana ini akan mengubah pendapat beberapa orang tentang itu. Langkah apa yang Anda ambil untuk melindungi diri Anda setelah peretasan Mat Honan dan Grant Blakeman?
Kredit Gambar: 1 kata sandi.
