Anuncio
La autenticación de dos factores (2FA) es uno de los avances más promocionados en seguridad en línea. A principios de esta semana, se supo que había sido pirateado.
Grant Blakeman - diseñador y propietario de la cuenta de Instagram @gb - Se despertó y descubrió que su cuenta de Gmail se había comprometido y los hackers le habían robado su identificador de Instagram. Esto fue a pesar de tener 2FA habilitado.
2FA: la versión corta
2FA es una estrategia para hacer que las cuentas en línea sean más difíciles de hackear. Mi colega Tina ha escrito un gran artículo sobre qué es 2FA y por qué debería usarlo ¿Qué es la autenticación de dos factores y por qué debe usarla?La autenticación de dos factores (2FA) es un método de seguridad que requiere dos formas diferentes de demostrar su identidad. Se usa comúnmente en la vida cotidiana. Por ejemplo, pagar con tarjeta de crédito no solo requiere la tarjeta, ... Lee mas ; Si desea una introducción más detallada, debe consultarla.
En una configuración típica de autenticación de un factor (1FA) solo se usa una contraseña. Esto lo hace increíblemente vulnerable; Si alguien tiene su contraseña, puede iniciar sesión como usted. Desafortunadamente, esta es la configuración que utilizan la mayoría de los sitios web.
2FA agrega un factor adicional: generalmente, se envía un código único a su teléfono cuando inicia sesión en su cuenta desde un nuevo dispositivo o ubicación. Alguien que intente ingresar a su cuenta no solo debe robar su contraseña, sino que, en teoría, tener acceso a su teléfono cuando intenta iniciar sesión. Más servicios, como Apple y Google, están implementando 2FA Bloquee estos servicios ahora con autenticación de dos factoresLa autenticación de dos factores es la forma inteligente de proteger sus cuentas en línea. Echemos un vistazo a algunos de los servicios que puede bloquear con mayor seguridad. Lee mas .
La historia de Grant
La historia de Grant es muy similar a la del escritor Wired Mat Honan. Mat tuvo toda su vida digital destruida por piratas informáticos que querían obtener acceso a su cuenta de Twitter: tiene el nombre de usuario @mat. Grant, de manera similar, tiene las dos letras Cuenta de Instagram @gb lo que lo convirtió en un objetivo.
Sobre su Cuenta Ello Grant describe cómo, mientras ha tenido su cuenta de Instagram, ha estado tratando con correos electrónicos no solicitados para restablecer la contraseña varias veces a la semana. Esa es una gran bandera roja que alguien está intentando hackear en su cuenta. Ocasionalmente, obtenía un código 2FA para la cuenta de Gmail que estaba adjunta a su cuenta de Instagram.
Una mañana las cosas fueron diferentes. Se despertó con un mensaje de texto que le decía que la contraseña de su cuenta de Google había cambiado. Afortunadamente, pudo recuperar el acceso a su cuenta de Gmail, pero los piratas informáticos actuaron rápidamente y eliminaron su cuenta de Instagram, robándose el identificador @gb.
Lo que le sucedió a Grant es particularmente preocupante porque ocurrió a pesar de que usaba 2FA.
Hubs y puntos débiles
Tanto los hacks de Mat como los de Grant se basaron en hackers que usaban puntos débiles en otros servicios para acceder a una cuenta de centro clave: su cuenta de Gmail. A partir de esto, los piratas informáticos pudieron restablecer la contraseña estándar en cualquier cuenta asociada con esa dirección de correo electrónico. Si un hacker obtiene acceso a mi Gmail, podrá acceder a mi cuenta aquí en MakeUseOf, mi cuenta de Steam y todo lo demás.
Mat tiene escribió una excelente y detallada descripción de cómo fue pirateado. Explica cómo los piratas informáticos obtuvieron acceso utilizando puntos débiles en la seguridad de Amazon para hacerse cargo de su cuenta, usaron la información ganaron desde allí para acceder a su cuenta de Apple y luego usaron eso para ingresar a su cuenta de Gmail, y a toda su cuenta digital vida.
La situación de Grant era diferente. El truco de Mat no hubiera funcionado si hubiera habilitado 2FA en su cuenta de Gmail. En el caso de Grant, lo evitaron. Los detalles de lo que le sucedió a Grant no son tan claros, pero se pueden inferir algunos detalles. Escribiendo en su cuenta de Ello, Grant dice:
Entonces, hasta donde puedo decir, el ataque en realidad comenzó con mi proveedor de teléfono celular, que de alguna manera permitió cierto nivel de acceso o social ingeniería en mi cuenta de Google, que luego permitió a los piratas informáticos recibir un correo electrónico de restablecimiento de contraseña de Instagram, dándoles el control de la cuenta.
Los hackers habilitaron el desvío de llamadas en su cuenta de teléfono celular. No está claro si esto permitió que se les enviara el código 2FA o si utilizaron otro método para evitarlo. De cualquier manera, al comprometer la cuenta del teléfono celular de Grant, obtuvieron acceso a su Gmail y luego a su Instagram.
Evitar esta situación usted mismo
En primer lugar, la conclusión clave de esto no es que 2FA está roto y no vale la pena configurarlo. Es una excelente configuración de seguridad que deberías usar; simplemente no es a prueba de balas. En lugar de usar su número de teléfono para la autenticación, puede hacerlo más seguro usando Authy o Google Authenticator ¿Puede la verificación en dos pasos ser menos irritante? Cuatro trucos secretos garantizados para mejorar la seguridad¿Quieres seguridad de la cuenta a prueba de balas? Le recomiendo habilitar lo que se llama autenticación de "dos factores". Lee mas . Si los piratas informáticos de Grant lograron redirigir el texto de verificación, esto lo habría detenido.
Segundo, considera por qué la gente querría hackearte. Si tiene nombres de usuario o nombres de dominio valiosos, corre un riesgo mayor. Del mismo modo, si eres una celebridad, es más probable que te hackeen 4 maneras de evitar ser hackeado como una celebridadLos desnudos de celebridades filtrados en 2014 llegaron a los titulares de todo el mundo. Asegúrate de que no te suceda con estos consejos. Lee mas . Si no se encuentra en ninguna de estas situaciones, es más probable que sea hackeado por alguien que conoce o en un hack oportunista después de que su contraseña se filtre en línea. En ambos casos, la mejor defensa es contraseñas seguras y únicas para cada servicio individual. Yo personalmente uso 1 Contraseña cual es Una forma útil de proteger sus contraseñas Deje que 1Password para Mac administre sus contraseñas y datos segurosA pesar de la nueva característica de iCloud Keychain en OS X Mavericks, todavía prefiero el poder de administrar mis contraseñas en el clásico y popular 1Password de AgileBits, ahora en su cuarta versión. Lee mas y está disponible en todas las plataformas principales.
Tercero, minimice el impacto de las cuentas centrales. Las cuentas de Hub te facilitan la vida, pero también a los piratas informáticos. Configure una cuenta de correo electrónico secreta y úsela como la cuenta de restablecimiento de contraseña para sus importantes servicios en línea. Mat había hecho esto, pero los atacantes pudieron ver la primera y la última letra; vieron m••••[email protected]. Sé un poco más imaginativo. También debe usar este correo electrónico para cuentas importantes. Especialmente aquellos que tienen información financiera adjunta como Amazon. De esa forma, incluso si los piratas informáticos obtienen acceso a sus cuentas de concentrador, no obtendrán acceso a servicios importantes.
Finalmente, evite publicar información confidencial en línea. Los piratas informáticos de Mat encontraron su dirección mediante una búsqueda de WhoIs, que le brinda información sobre quién es el propietario de un sitio, que los ayudó a ingresar a su cuenta de Amazon. El número de celular de Grant probablemente también estaba disponible en algún lugar en línea. Ambas direcciones de correo electrónico de su centro estaban disponibles públicamente, lo que dio a los piratas informáticos un punto de partida.
Me encanta 2FA, pero puedo entender cómo esto cambiaría la opinión de algunas personas al respecto. ¿Qué pasos estás tomando para protegerte después de los ataques de Mat Honan y Grant Blakeman?
Créditos de imagen: 1 Contraseña.
