To-faktor-godkendelse er overalt. Fra det øjeblik du logger ind på din Gmail -konto for at få adgang til dine finansielle oplysninger via PayPal, er 2FA der for at hilse på dig som en mere sikker måde at logge ind på. Du finder det endda, når du opretter en PS5 eller Xbox Series X. Heck , chancerne er, du har allerede brugt til i dag.
Også kendt som multifaktorgodkendelse er 2FA et ekstra lag af sikkerhed - der bruges af stort set alle online platforme - der stopper mange hackere på lavt niveau i deres spor og beskytter alle dine værdifulde private oplysninger mod at blive overtrådt.
- De bedste telefontilbud i 2022-2023-2022
- Find ud af de bedste smartphones i2021-2022
Ak, hacketaktik udvikler sig for evigt, og alt, hvad der kræves, er en smart cyberkriminel at finde et lille hul i rustningen og plyndre, hvad der engang var uigennemtrængelige regnskaber for deres hjerte. Men du behøver ikke at være et sus til at dekryptere kode for at få adgang til et intetanende offerets konto.
Faktisk var 61% af de 5.250 bekræftede sikkerhedsbrud, som den amerikanske netværksoperatør analyserede, involveret stjålne legitimationsoplysninger ifølge Verizon Data Breach Investigations Report fra 2022-2023-2022. Formålet med multifaktorautentificering er naturligvis at forhindre ondsindede aktører i at få adgang til en konto, selvom de opdager en superhemmelig adgangskode.
Men ligesom hvordan Scar forlod Mufasa for at falde til sin undergang i et af de største forræderier nogensinde, kan sikkerhedsmetoden også være hovedårsagen til cyberkriminel aktivitet. Den virkelige forræder? Dit gamle telefonnummer.
For en bedre fornemmelse af, hvordan angribere let kan bruge tofaktorautentificering mod dig, er det bedst at vide, hvad online sikkerhedsmetode er, og hvordan den fungerer. Hvis det hjælper, skal du tænke på dit gamle telefonnummer som ar i hele dette stykke.
Hvad er tofaktorautentificering?
Multifaktorgodkendelse (MFA) er en digital godkendelsesmetode, der bruges til at bekræfte en brugers identitet for at give dem adgang til et websted eller en app via mindst to beviser. To-faktor-godkendelse, mere populært kendt som 2FA, er den mest almindeligt anvendte metode.
For at 2FA skal fungere, skal en bruger have mindst to vigtige legitimationsoplysninger for at logge ind på en konto (med multifaktor, der normalt involverer mere end tre forskellige detaljer). Det betyder, at hvis en uautoriseret bruger får adgang til en adgangskode, har de stadig brug for adgang til en e -mail eller et telefonnummer, der er knyttet til den konto, hvor en særlig kode sendes for et ekstra beskyttelsesniveau.
For eksempel vil en bank kræve et brugernavn og en adgangskode for at en bruger kan få adgang til deres konto, men den har også brug for en anden form for godkendelse, f.eks. En unik kode eller fingeraftryksgenkendelse for at bekræfte en brugers identitet. Denne anden faktor kan også bruges før en transaktion foretages.
Som forklaret af softwarefirmaet Ping Identity, er 2FAs nødvendige legitimationsoplysninger opdelt i tre forskellige kategorier: "hvad du ved", "hvad du har" og "hvad du er." Med hensyn til "hvad du ved" eller din viden, kommer dette ned på dine adgangskoder, pinkode eller svar på et sikkerhedsspørgsmål som "hvad er din mors pigenavn?" (noget jeg aldrig synes at huske).
"Hvad du er" er uden tvivl den mest sikre kategori, da det bekræfter din identitet ud fra et fysisk træk, der kun er unikt for dig. Dette ses normalt på smartphones, f.eks. En iPhone eller Samsung Galaxy -telefon, ved hjælp af biometrisk godkendelse som f.eks. Et fingeraftryk eller ansigtsscanning for at få adgang.
Hvad angår "hvad du har", refererer dette til det, der er i din besiddelse, som kan være alt fra en smart enhed til et smartkort. Generelt betyder denne metode at få en pop-up-meddelelse på din telefon via SMS, der skal bekræftes, før du får adgang til en konto. For alle fagfolk, der bruger Google Gmail til virksomheder, er du stødt på denne kategori.
Desværre er den sidste kategori grund til bekymring, især når du smider genbrug af telefonnumre i blandingen.
Genbrug af telefonnummer
Ifølge Federal Communications Commission (FCC) frakobles mere end 35 millioner numre i USA og bliver tilgængelige igen ved at tildele dem til en ny abonnent hvert år. Nok er tal uendelige og det hele, men der er kun så mange 10 eller 11-cifrede kombinationer, et mobilnetværk kan tilbyde sine kunder.
Det Forenede Kongeriges Kommunikationskontor (Ofcom), den enhed, der tildeler britiske netudbydere mobilnumre, oplyser (via The Evening Standard), at den har en streng "brug den eller tab den" -politik for pay-as-you-go mobilnumre. Vodafone afbryder og genbruger et telefonnummer efter bare 90 dages uden aktivitet, mens O2 gør dette efter 12 måneder.
I USA lader netværksudbydere, herunder Verizon og T-Mobile, kunderne ændre og vælge de tilgængelige numre, der vises på online nummerændringsgrænseflader via deres websted eller app. Der er millioner af genbrugte telefonnumre til rådighed, hvor flere hober sig op hver dag.
Genbrugsnumre kan være skadelige for dem, der oprindeligt ejede dem, da mange platforme, herunder Gmail og Facebook, er knyttet til dit mobilnummer til gendannelse af adgangskoder eller, og her er kicker, tofaktorautentificering.
Sådan sætter 2FA dig i fare
En undersøgelse ved Princeton University opdagede, hvor let alle kan få et genbrugt telefonnummer og bruge det til flere almindelige cyberangreb, herunder overtagelse af konti og endda nægte adgang til en konto ved at holde det som gidsel og bede om en løsesum i bytte for adgang.
Ifølge undersøgelsen kan en angriber finde tilgængelige numre og kontrollere, om nogen af dem er forbundet med onlinekonti fra tidligere ejere. Ved at se deres online profiler og kontrollere, om deres gamle nummer er knyttet, kan angriberne købe det genbrugte nummer (kun $ 15 hos T-Mobile) og nulstille adgangskoden på kontiene. Ved hjælp af 2FA modtager og indtaster de den særlige kode, der sendes via SMS.
Forskerne testede 259 numre, de fik gennem de to amerikanske mobilselskaber og fandt ud af, at 171 af dem havde en tilknyttet konto på mindst et af seks almindeligt anvendte websteder: Amazon, AOL, Facebook, Google, PayPal og Yahoo. Dette kaldes et "reverse lookup attack".
Forskere fandt en anden variant af angrebet, der tillod ondsindede aktører at kapre konti uden at skulle nulstille en adgangskode. Brug af online personsøgningstjeneste BeenVerified, en hacker kunne søge efter en e -mail -adresse ved hjælp af et genbrugt telefonnummer og derefter kontrollere, om e -mail -adresserne havde været involveret i databrud ved hjælp af Have I Been Pwned ?. Hvis de havde, kunne angriberen købe adgangskoden på et cyberkriminelt sort marked og bryde ind på en 2FA-aktiveret konto uden at skulle nulstille en adgangskode.
For at gøre tingene værre kan angribere også tage din konto som gidsel. Et grimt trick ser en hacker få et nummer for at tilmelde sig flere onlinetjenester, der kræver et telefonnummer. Når de er færdige, afbryder de tjenesten, så nummeret kan genbruges, så en ny abonnent kan begynde at bruge. Når den nye bruger forsøger at tilmelde sig de samme tjenester, får hackeren besked via 2FA og nægter dem en måde at bruge tjenesten. Trusselsaktøren vil derefter bede offeret om at betale en løsesum, hvis de vil bruge disse onlinetjenester.
At bruge 2FA på denne måde er frygteligt, men det forhindrer det ikke i at ske. T-Mobile gennemgik forskningen tilbage i december, og minder nu abonnenter om at opdatere deres kontaktnummer på bankkonti og sociale medieprofiler på sin nummerændringssupportside. Men det er alt, transportøren har magt til at gøre, hvilket betyder, at de, der ikke er informeret, vil være åbne for angreb.
Alternative måder at bruge 2FA på
Hvis noget, telefonnumre og 2FA geler ikke særlig godt. Den gode nyhed er imidlertid, at der nu er flere muligheder, når du vælger at bruge 2FA, herunder de førnævnte biometriske metoder eller autentificeringsapps.
Disse muligheder er dog ikke altid tilgængelige, og nogle gange giver onlinetjenester dig kun to muligheder for 2FA: dit telefonnummer eller din e -mail -adresse. Hvis du ikke vil have hackere til at rode i dine private oplysninger, er det bedst at vælge e -mail -godkendelse. Selvfølgelig er der dem, der ikke altid bruger deres e -mails, og med tiden ofte kan glemme deres adgangskoder. Ingen adgangskode, betyder ingen måde at opnå en godkendelseskode.
For at løse dette er det bedst at finde en password manager. LastPass plejede at være go-to i mange år takket være sin gratis service, men der er andre konkurrenter, der er værd at tjekke ud.
"Men hvad nu hvis jeg allerede bruger mit telefonnummer til 2FA?" Jeg hører dig spørge. Hvis du overvejer at ændre dit telefonnummer, skal du sørge for at fjerne tilknytningen af dit telefonnummer til de onlinetjenester, det er forbundet til, før du skifter. Og hvis du allerede har foretaget skiftet, er det værd at bruge tid på at opdatere dine konti for at slippe af med eventuelle ar (telefonnumre), der ligger og venter på at bakke dig ned, når du mindst venter det.
Outlook
To-faktor-godkendelse er overalt, og det er kommet for at blive. Faktisk vil Google snart tvinge dig til at bruge 2FA, når du logger ind, hvor teknologigiganten står inde for en "sikrere fremtid uden adgangskoder." Dette er ikke en frygtelig idé, men der er potentiale for mange mennesker til at bruge deres telefonnumre som en måde at blive identificeret på. Vi er sikre på, at hackere på lavt niveau kan lide lyden af det.
For at forhindre, at alt dette sker, når 2FA begynder at overtage alle online platforme, er alt, hvad du skal gøre, at læse titlen på denne artikel og følge vores råd.