Autentificarea cu doi factori este peste tot. Din momentul în care vă conectați la contul Gmail până la accesarea detaliilor dvs. financiare prin PayPal, 2FA este acolo pentru a vă întâmpina ca un mod mai sigur de conectare. Veți găsi chiar și atunci când configurați un PS5 sau Xbox Series X. Heck , sunt șanse, v-ați obișnuit deja astăzi.
De asemenea, cunoscut sub numele de autentificare multi-factor, 2FA este un strat suplimentar de securitate - utilizat de practic fiecare platformă online - care oprește mulți hackeri de nivel scăzut în urmele lor, protejând toate informațiile dvs. private valoroase de a fi încălcate.
- Cele mai bune oferte de telefon în perioada 2022-2023
- Aflați cele mai bune smartphone-uri în perioada 2022-2023
Din păcate, tacticile de hacking evoluează pentru totdeauna și tot ce trebuie este un cibercriminal înțelept pentru a găsi o mică gaură în armură și a jefui ceea ce odată erau conturi impenetrabile după conținutul inimii lor. Însă nu trebuie să fiți un șmecher în decriptarea codului pentru a avea acces la contul unei victime nebănuite.
De fapt, conform Raportului Verizon Investigations Data 2121-2022, 61% din cele 5.250 de încălcări confirmate de securitate pe care operatorul de rețea american le-a analizat au implicat acreditări furate. Desigur, scopul autentificării cu mai mulți factori este de a împiedica actorii rău intenționați să aibă acces la un cont, chiar dacă descoperă o parolă super-secretă.
Dar, la fel ca modul în care Scar l-a părăsit pe Mufasa pentru a se prăbuși într-una dintre cele mai mari trădări din toate timpurile, metoda de securitate poate fi și cauza principală a activității cibernetice. Adevăratul trădător? Numărul dvs. de telefon vechi.
Pentru o mai bună înțelegere a modului în care atacatorii pot folosi cu ușurință autentificarea cu doi factori împotriva dvs., cel mai bine este să știți care este metoda de securitate online și cum funcționează. Dacă vă ajută, gândiți-vă la vechiul număr de telefon ca la Scar în toată această piesă.
Ce este autentificarea cu doi factori?
Autentificarea cu mai mulți factori (MFA) este o metodă de autentificare digitală utilizată pentru a confirma identitatea unui utilizator pentru a-i permite accesul la un site web sau la o aplicație prin cel puțin două dovezi. Autentificarea cu doi factori, cunoscută mai popular ca 2FA, este cea mai frecvent utilizată metodă.
Pentru ca 2FA să funcționeze, un utilizator trebuie să aibă cel puțin două piese importante de acreditare pentru a se conecta la un cont (cu factori multipli care implică de obicei mai mult de trei detalii diferite). Aceasta înseamnă că, dacă un utilizator neautorizat pune mâna pe o parolă, va avea în continuare nevoie de acces la un e-mail sau un număr de telefon conectat la contul în care este trimis un cod special pentru un nivel suplimentar de protecție.
De exemplu, o bancă va necesita un nume de utilizator și o parolă pentru ca un utilizator să își poată accesa contul, dar are nevoie și de o a doua formă de autentificare, cum ar fi un cod unic sau recunoașterea amprentelor digitale pentru a confirma identitatea utilizatorului. Acest al doilea factor poate fi utilizat și înainte de efectuarea unei tranzacții.
După cum a explicat compania de software Ping Identity, acreditările necesare pentru 2FA sunt împărțite în trei categorii diferite: „ce știi”, „ce ai” și „ce ești”. În ceea ce privește „ceea ce știi” sau cunoștințele tale, aceasta se reduce la parolele, numărul PIN sau la răspunsul la o întrebare de securitate, cum ar fi „care este numele de fată al mamei tale?” (ceva ce parcă nu-mi amintesc niciodată).
„Ceea ce ești” este, fără îndoială, cea mai sigură categorie, deoarece îți confirmă identitatea dintr-o trăsătură fizică unică numai pentru tine. Acest lucru se vede de obicei pe smartphone-uri, cum ar fi un telefon iPhone sau Samsung Galaxy, folosind autentificare biometrică, cum ar fi o amprentă digitală sau scanare facială pentru a avea acces.
În ceea ce privește „ceea ce aveți”, acesta se referă la ceea ce aveți în posesia dvs., care poate fi orice, de la un dispozitiv inteligent la o cartelă inteligentă. În general, această metodă înseamnă să primiți o notificare pop-up pe telefonul dvs. prin SMS, care trebuie confirmată înainte de a accesa un cont. Pentru orice profesioniști care utilizează Google Gmail pentru afaceri, veți întâlni această categorie.
Din păcate, ultima categorie este un motiv de îngrijorare, mai ales atunci când aruncați reciclarea numărului de telefon în mix.
Reciclarea numărului de telefon
Potrivit Comisiei de comunicații federale (FCC), peste 35 de milioane de numere din SUA sunt deconectate și devin disponibile din nou prin alocarea acestora către un nou abonat în fiecare an. Sigur, numerele sunt infinite și toate, dar există doar atâtea combinații de 10 sau 11 cifre pe care o rețea mobilă le poate oferi clienților săi.
Oficiul de Comunicații al Marii Britanii (Ofcom), entitatea care atribuie numere de telefonie mobilă furnizorilor de rețele din Marea Britanie, afirmă (prin intermediul The Evening Standard) că are o politică strictă „utilizați-o sau pierdeți-o” pentru a vă plăti numere de telefon mobil. Vodafone deconectează și reciclează un număr de telefon după doar 90 de zile fără activitate, în timp ce O2 face acest lucru după 12 luni.
În SUA, furnizorii de rețele, inclusiv Verizon și T-Mobile, permit clienților să schimbe și să aleagă numerele disponibile afișate pe interfețele de schimbare a numărului online prin intermediul site-ului sau al aplicației lor. Există milioane de numere de telefon reciclate disponibile, cu mai multe acumulări în fiecare zi.
Numerele reciclate pot fi dăunătoare celor care le-au deținut inițial, deoarece multe platforme, inclusiv Gmail și Facebook, sunt conectate la numărul dvs. de telefon mobil pentru recuperarea parolei și, iată kicker-ul, autentificarea cu doi factori.
Cum vă pune în pericol 2FA
Un studiu efectuat la Universitatea Princeton a descoperit cât de ușor oricine poate obține un număr de telefon reciclat și îl poate folosi pentru mai multe atacuri cibernetice obișnuite, inclusiv preluarea contului și chiar refuzarea accesului la un cont ținându-l ostatic și cerând o răscumpărare în schimbul accesului.
Potrivit studiului, un atacator poate găsi numerele disponibile și poate verifica dacă vreunul dintre ele este asociat cu conturi online de la proprietarii anteriori. Vizualizând profilurile lor online și verificând dacă vechiul lor număr este legat, atacatorii pot cumpăra numărul reciclat (doar 15 USD la T-Mobile) și pot reseta parola din conturi. Folosind 2FA, aceștia vor primi și vor introduce codul special trimis prin SMS.
Cercetătorii au testat 259 de numere pe care le-au obținut prin intermediul celor doi operatori de telefonie mobilă din SUA și au descoperit că 171 dintre aceștia aveau un cont conectat pe cel puțin unul dintre cele șase site-uri web utilizate în mod obișnuit: Amazon, AOL, Facebook, Google, PayPal și Yahoo. Aceasta se numește „atac de căutare inversă”.
Cercetătorii au găsit o altă variantă a atacului care le-a permis actorilor rău intenționați să deturneze conturile fără a fi nevoie să resetați o parolă. Utilizarea serviciului de căutare a persoanelor online BeenVerified, un hacker ar putea căuta o adresă de e-mail folosind un număr de telefon reciclat, apoi să verifice dacă adresele de e-mail au fost implicate în încălcări de date folosind Have I Been Pwned ?. Dacă ar fi avut, atacatorul ar putea cumpăra parola pe o piață neagră cibernetică și ar putea intra într-un cont activat 2FA fără a fi nevoie să resetați o parolă.
Pentru a înrăutăți lucrurile, atacatorii vă pot lua și contul ostatic. Un truc neplăcut face ca un hacker să obțină un număr pentru a se înscrie la mai multe servicii online care necesită un număr de telefon. Odată finalizat, aceștia întrerup serviciul, astfel încât numărul să poată fi reciclat pentru ca un nou abonat să înceapă să-l folosească. Când noul utilizator încearcă să se înscrie pentru aceleași servicii, hackerul va fi notificat prin intermediul 2FA și le va refuza modalitatea de a utiliza serviciul. Actorul amenințător va cere apoi victimei să plătească o răscumpărare dacă dorește să utilizeze aceste servicii online.
Utilizarea 2FA în acest mod este atroce, dar asta nu împiedică să se întâmple. T-Mobile a analizat cercetarea în decembrie și acum le reamintește abonaților să își actualizeze numărul de contact pe conturile bancare și profilurile de pe rețelele sociale pe pagina de asistență pentru schimbarea numărului. Dar asta este tot ceea ce transportatorul are puterea de a face, adică cei care nu sunt informați vor fi deschiși la atacuri.
Modalități alternative de utilizare a 2FA
În orice caz, numerele de telefon și 2FA nu sunt foarte bune. Vestea bună este însă că există acum mai multe opțiuni disponibile atunci când se optează pentru utilizarea 2FA, inclusiv metodele biometrice menționate anterior sau aplicațiile de autentificare.
Cu toate acestea, aceste opțiuni nu sunt întotdeauna disponibile și, uneori, serviciile online vă oferă doar două opțiuni pentru 2FA: numărul dvs. de telefon sau adresa dvs. de e-mail. Dacă nu doriți ca hackerii să scotocească informațiile dvs. private, cel mai bine este să optați pentru autentificarea prin e-mail. Desigur, există cei care nu își folosesc întotdeauna e-mailurile și, cu timpul, își pot uita adesea parolele. Fără parolă, nu înseamnă nicio modalitate de a obține un cod de autentificare.
Pentru a rezolva acest lucru, cel mai bine este să găsiți un manager de parole. LastPass obișnuia să fie un accesoriu de ani de zile datorită serviciului său gratuit, dar există și alți concurenți care merită verificați.
„Dar dacă îmi folosesc deja numărul de telefon pentru 2FA?” Te aud întrebând. Dacă vă gândiți să vă schimbați numărul de telefon, asigurați-vă că vă deconectați numărul de telefon de la serviciile online la care este conectat înainte de a efectua schimbarea. Și, dacă ați făcut deja schimbarea, merită să vă actualizați conturile pentru a scăpa de orice cicatrici (numere de telefon) care stau în așteptare pentru a vă întoarce când vă așteptați cel mai puțin.
Outlook
Autentificarea cu doi factori este peste tot și este aici pentru a rămâne. De fapt, Google vă va obliga în curând să utilizați 2FA la conectare, cu gigantul tehnologic garantând un „viitor mai sigur, fără parole”. Aceasta nu este o idee teribilă, dar există potențialul pentru mulți oameni de a-și folosi numerele de telefon ca modalitate de identificare. Suntem siguri că hackerilor de nivel scăzut le place sunetul.
Pentru a preveni oricare dintre acestea, odată ce 2FA începe să preia toate platformele online, nu trebuie decât să citiți titlul acestui articol și să urmați sfaturile noastre.