To-faktor autentisering er overalt. Fra det øyeblikket du logger deg på Gmail -kontoen din til du får tilgang til dine økonomiske detaljer via PayPal, er 2FA der for å hilse på deg som en sikrere måte å logge på. Du finner den til og med når du konfigurerer en PS5 eller Xbox Series X. Heck , sjansen er stor, du har allerede brukt til i dag.
Også kjent som multifaktorautentisering, er 2FA et ekstra lag med sikkerhet - brukt av praktisk talt alle online plattformer - som stopper mange lavnivåhackere i deres spor, og beskytter all din verdifulle private informasjon fra å bli brutt.
- De beste telefonene i 2022-2023-2022
- Finn ut de beste smarttelefonene i 2022-2023-2022
Akk, hackingstaktikk utvikler seg for alltid, og alt som trengs er en listig cyberkriminell for å finne et lite hull i rustningen og plyndre det som en gang var ugjennomtrengelige regnskap for deres hjerte. Men du trenger ikke å være en suser i å dekryptere kode for å få tilgang til et intetanende offer for kontoen.
Faktisk, ifølge Verizon Data Breach Investigations Report fra 2022-2023-2022, bekreftet 61% av de 5250 sikkerhetsbruddene den amerikanske nettoperatøren analyserte, stjålet legitimasjon. Selvfølgelig er formålet med flerfaktorautentisering å forhindre ondsinnede aktører i å få tilgang til en konto, selv om de oppdager et superhemmelig passord.
Men akkurat som hvordan Scar lot Mufasa falle til undergang i et av de største svikene gjennom tidene, kan sikkerhetsmetoden også være hovedårsaken til cyberkriminalitet. Den virkelige forræderen? Ditt gamle telefonnummer.
For en bedre forståelse av hvordan angriperne enkelt kan bruke tofaktorautentisering mot deg, er det best å vite hva den elektroniske sikkerhetsmetoden er og hvordan den fungerer. Hvis det hjelper, tenk på det gamle telefonnummeret ditt som Scar gjennom hele dette stykket.
Hva er tofaktorautentisering?
Multifaktorautentisering (MFA) er en digital autentiseringsmetode som brukes til å bekrefte identiteten til en bruker for å gi dem tilgang til et nettsted eller en app gjennom minst to bevis. To-faktor autentisering, mer populært kjent som 2FA, er den mest brukte metoden.
For at 2FA skal fungere, må en bruker ha minst to viktige legitimasjoner for å logge på en konto (med flerfaktor som vanligvis involverer mer enn tre forskjellige detaljer). Dette betyr at hvis en uautorisert bruker får tak i et passord, trenger de fortsatt tilgang til en e -post eller telefonnummer knyttet til kontoen der en spesiell kode sendes for et ekstra beskyttelsesnivå.
For eksempel vil en bank kreve et brukernavn og passord for at en bruker skal få tilgang til kontoen sin, men den trenger også en annen form for godkjenning, for eksempel en unik kode eller fingeravtrykkgjenkjenning for å bekrefte en brukers identitet. Denne andre faktoren kan også brukes før en transaksjon foretas.
Som forklart av programvareselskapet Ping Identity, er 2FAs nødvendige legitimasjon delt inn i tre forskjellige kategorier: "hva du vet", "hva du har" og "hva du er." Når det gjelder "det du vet", eller din kunnskap, kommer dette til passord, PIN -nummer eller svar på et sikkerhetsspørsmål som "hva er din mors pikenavn?" (noe jeg aldri ser ut til å huske).
"Det du er" er uten tvil den sikreste kategorien, ettersom den bekrefter identiteten din fra et fysisk trekk som bare er unikt for deg. Dette er vanligvis sett på smarttelefoner, for eksempel en iPhone eller Samsung Galaxy -telefon, ved bruk av biometrisk autentisering som et fingeravtrykk eller ansiktsskanning for å få tilgang.
Når det gjelder "det du har", refererer dette til det du har i besittelse, som kan være alt fra en smartenhet til et smartkort. Vanligvis betyr denne metoden å få et popup-varsel på telefonen via SMS som må bekreftes før du får tilgang til en konto. For alle fagfolk som bruker Google Gmail for bedrifter, har du kommet over denne kategorien.
Dessverre er den siste kategorien grunn til bekymring, spesielt når du kaster resirkulering av telefonnumre i blandingen.
Resirkulering av telefonnummer
I følge Federal Communications Commission (FCC) kobles mer enn 35 millioner numre i USA ut og blir tilgjengelige igjen ved å tilordne dem til en ny abonnent hvert år. Visst, tall er uendelige og alt, men det er bare så mange 10 eller 11-sifrede kombinasjoner et mobilnett kan tilby sine kunder.
Storbritannias kommunikasjonskontor (Ofcom), enheten som tildeler britiske nettverksleverandører mobilnummer, opplyser (via The Evening Standard) at den har en streng "bruk den eller miste den" -policy for pay-as-you-go mobilnummer. Vodafone kobler fra og resirkulerer et telefonnummer etter bare 90 dager uten aktivitet, mens O2 gjør dette etter 12 måneder.
I USA lar nettverksleverandører, inkludert Verizon og T-Mobile, kundene endre og velge de tilgjengelige tallene som vises på nettnummerendringsgrensesnitt via deres nettsted eller app. Det er millioner av resirkulerte telefonnumre tilgjengelig, og flere hoper seg opp hver dag.
Resirkulerte tall kan være skadelige for dem som opprinnelig eide dem, ettersom mange plattformer, inkludert Gmail og Facebook, er knyttet til mobilnummeret ditt for passordgjenoppretting eller, og her er kicker, tofaktorautentisering.
Hvordan 2FA setter deg i fare
En studie ved Princeton University oppdaget hvor lett noen kan få et resirkulert telefonnummer og bruke det til flere vanlige cyberangrep, inkludert overtakelse av kontoer og til og med nekte tilgang til en konto ved å holde det som gissel og be om løsepenger i bytte mot tilgang.
Ifølge studien kan en angriper finne tilgjengelige tall og sjekke om noen av dem er knyttet til online -kontoer fra tidligere eiere. Ved å se på online-profilene sine og sjekke om det gamle nummeret deres er koblet, kan angriperne kjøpe det resirkulerte nummeret (bare $ 15 på T-Mobile) og tilbakestille passordet på kontoene. Ved bruk av 2FA vil de deretter motta og skrive inn spesialkoden som sendes via SMS.
Forskerne testet 259 tall de fikk gjennom de to amerikanske mobiloperatørene og fant at 171 av dem hadde en tilknyttet konto på minst ett av seks vanlige nettsteder: Amazon, AOL, Facebook, Google, PayPal og Yahoo. Dette kalles et "omvendt oppslag".
Forskere fant en annen variant av angrepet som tillot ondsinnede aktører å kapre kontoer uten å måtte tilbakestille et passord. Bruke online søketjeneste BeenVerified, en hacker kunne søke etter en e -postadresse ved å bruke et resirkulert telefonnummer, og deretter sjekke om e -postadressene hadde vært involvert i databrudd ved å bruke Have I Been Pwned ?. Hvis de hadde det, kunne angriperen kjøpe passordet på et cyberkriminelt svart marked og bryte seg inn i en 2FA-aktivert konto uten å måtte tilbakestille et passord.
For å gjøre saken verre kan angriperne også ta kontoen din som gisler. Et ekkelt triks ser en hacker skaffe seg et nummer for å registrere seg for flere online -tjenester som krever et telefonnummer. Når de er ferdige, avbryter de tjenesten slik at nummeret kan resirkuleres for en ny abonnent å begynne å bruke. Når den nye brukeren prøver å registrere seg for de samme tjenestene, vil hackeren bli varslet via 2FA, og nekte dem en måte å bruke tjenesten. Trusselsaktøren vil deretter be offeret om å betale løsepenger hvis de ønsker å bruke disse elektroniske tjenestene.
Å bruke 2FA på denne måten er fryktelig, men det forhindrer ikke at det skjer. T-Mobile gjennomgikk forskningen tilbake i desember, og minner nå abonnenter om å oppdatere kontaktnummeret sitt på bankkontoer og sosiale medier-profiler på støttesiden for nummerendringer. Men det er alt transportøren har makt til å gjøre, noe som betyr at de som ikke er informert vil være åpne for angrep.
Alternative måter å bruke 2FA på
Hvis noe, telefonnumre og 2FA geler ikke veldig bra. Den gode nyheten er imidlertid at det nå er flere alternativer tilgjengelig når du velger å bruke 2FA, inkludert de nevnte biometriske metodene eller autentiseringsapper.
Imidlertid er disse alternativene ikke alltid tilgjengelige, og noen ganger gir nettbaserte tjenester deg bare to alternativer for 2FA: telefonnummeret ditt eller e -postadressen din. Hvis du ikke vil at hackere skal lete i din private informasjon, er det best å velge e -postautentisering. Selvfølgelig er det de som ikke alltid bruker e -postene sine, og med tiden ofte kan glemme passordene sine. Intet passord, betyr ingen måte å skaffe en autentiseringskode.
For å løse dette er det best å finne en passordbehandling. LastPass pleide å være go-to i mange år takket være tjenesten gratis, men det er andre konkurrenter som er verdt å sjekke ut.
"Men hva om jeg allerede bruker telefonnummeret mitt for 2FA?" Jeg hører deg spørre. Hvis du vurderer å endre telefonnummeret ditt, må du koble fra telefonnummeret ditt fra nettjenestene det er koblet til før du bytter. Og hvis du allerede har byttet, er det vel verdt tiden din å oppdatere kontoene dine for å bli kvitt eventuelle arr (telefonnumre) som ligger og venter på å stoppe deg når du minst venter det.
Outlook
To-faktor autentisering er overalt, og det er kommet for å bli. Faktisk vil Google snart tvinge deg til å bruke 2FA når du logger på, med teknologigiganten som står for en "tryggere fremtid uten passord." Dette er ikke en forferdelig idé, men det er potensial for mange mennesker å bruke telefonnumrene sine som en måte å bli identifisert på. Vi er sikre på at lavnivåhackere liker lyden av det.
For å forhindre at noe av dette skjer, når 2FA begynner å overta alle online plattformer, er alt du trenger å gjøre å lese tittelen på denne artikkelen og følge rådene våre.