Jeśli w ciągu ostatnich kilku dni obserwowałeś szerszy świat technologii, to na pewno będziesz z nim zaznajomiony niedawne nieszczęście Mata Honana, pisarza Wired, który uległ niszczycielskiemu atakowi hakerskiemu, który unicestwił jego konta iCloud, Twitter i Google oraz zablokował przy tym kilka urządzeń.
W przypadku Honana atak został przeprowadzony przez przejęte (jeszcze publicznie dostępne) dane osobowe, a także awarie ze strony obsługi klienta Amazon i Apple, zamiast tradycyjnego ataku brutalnego lub kontaktu z złośliwe oprogramowanie. Ale kluczowa część tego, co pozwoliło atakującym na usunięcie nie tylko jego kont i urządzeń Apple, ale także jego Gmail i Google to fakt, że nie używał dwuetapowego uwierzytelniania Google do ochrony swoich danych konto.
Verizon oferuje Pixel 4a za jedyne 10 USD miesięcznie na nowych liniach Unlimited
Takie historie zawsze podkreślają znaczenie podstawowych środków bezpieczeństwa cyfrowego. Jednym z najbardziej podstawowych, ale najskuteczniejszych kroków, jakie możesz podjąć, aby chronić swoje konto, jest włączenie dwuetapowości.
Czytaj dalej, aby dowiedzieć się, jak i dlaczego powinieneś to zrobić.
Co to jest uwierzytelnianie dwuetapowe?
Uwierzytelnianie dwuetapowe zapewnia dodatkową warstwę zabezpieczeń, wymagając podania sześciocyfrowego kodu wygenerowanego przez Google i wysłanego na Twój telefon podczas logowania się na konto. Oznacza to, że nawet jeśli Twoje hasło zostanie złamane, Twoje konto powinno być nadal bezpieczne. Możliwe, że ktoś, kto próbuje włamać się na Twoje konto z daleka, nie ma też Twojego telefonu, więc nie może uzyskać dodatkowego kodu.
Możesz skonfigurować sześciocyfrowe kody weryfikacyjne, które mają być wysyłane w wiadomościach SMS, a także na urządzeniach z Androidem, BlackBerry lub Użytkownicy iPhone'ów mają do dyspozycji aplikację o nazwie Google Authenticator, której można użyć do wygenerowania kodu natychmiast. Te aplikacje działają, uzyskując dostęp do Twojego konta Google na telefonie, a następnie skanując tajny kod kreskowy na ekranie za pomocą wbudowanego aparatu telefonu.
A co z urządzeniami z Androidem i niektórymi aplikacjami?
Czasami aplikacja lub urządzenie korzystające z Twojego konta Google nie może poprosić Cię o podanie kodu weryfikacyjnego lub nie jest praktyczne lub pożądane, aby go o niego poprosić. Głównym przykładem są tutaj urządzenia z Androidem. Zaloguj się do konta z włączonym uwierzytelnianiem dwuetapowym, a zamiast tego użyj „hasła aplikacji”. Są to hasła, które dają pojedynczej aplikacji lub urządzeniu dostęp do Twojego konta Google w dowolnym momencie. Możesz się do nich dostać, przechodząc do accounts.google.com i kliknij „Zabezpieczenia” na pasku bocznym, a następnie „Autoryzacja aplikacji i witryn”.
Tak. Ta część to ból. Ale to ważne.
Na przykład, jeśli masz Galaxy Nexus i tablet Nexus 7, utworzysz jeden dla telefonu, a drugi dla tabletu, i wystarczy, że wpiszesz je raz na urządzeniu, na którym go używasz. Jeśli z jakiegoś powodu musisz zatrzymać dostęp do swojego konta Google, możesz po prostu nacisnąć „unieważnij” obok nazwy urządzenia. A ponieważ to hasło ma 16 znaków i może być używane tylko przez jedną aplikację lub urządzenie naraz, wszystko jest bezpiecznie wyciszone.
Nieprzewidziane wydatki
Uwierzytelnianie dwuetapowe jest dobre, ale nie jest bezbłędne - co na przykład, jeśli Twój telefon zostanie skradziony? Aby mieć pewność, że nie zostaniesz zablokowany na koncie, jeśli wydarzy się coś nieoczekiwanego, Google ma kilka sytuacji awaryjnych:
- Podczas pierwszej rejestracji w celu dwuetapowego uwierzytelniania zostaniesz poproszony o podanie zapasowych numerów telefonów, które możesz użyć do uzyskania sześciocyfrowego numeru weryfikacyjnego, jeśli jest to Twój podstawowy numer telefonu niedysponowany.
- Otrzymasz również zestaw kodów zapasowych, z których każdy umożliwia jednorazowe zalogowanie się. Jeśli Twój główny telefon jest niedostępny i nie możesz połączyć się z żadnym ze swoich numerów zapasowych, umożliwi to jednorazowe zalogowanie się i rozwiązanie problemu.
- Wbrew pozorom aplikacja Google Authenticator na Androida nie wymaga połączenia internetowego do działania. Nawet w trybie samolotowym wygeneruje działający kod weryfikacyjny.
Jak dwustopniowy mógł pomóc Matowi Honanowi i jak może ci pomóc
Błędy w obsłudze klienta Amazon i Apple (w połączeniu z brakiem dwustopniowego zabezpieczenia w iCloud) już sprawiły, że iPad, iPhone i Macbook Mat Honana były upieczone. Jednak włączenie uwierzytelniania dwuetapowego. mógł zapisać swoje konto Google i powiązane z nim konta na Twitterze.
Załóżmy, że nie masz włączonego uwierzytelniania dwuetapowego. Jeśli chcesz spróbować odzyskać hasło (ponieważ jesteś głupi i zapomniałeś go), masz kilka opcji odzyskiwania konta. Częściowo polega to na umożliwieniu Ci wysłania wiadomości pomocniczej na alternatywny adres e-mail, który został już powiązany, a na stronie odzyskiwania jest to tylko częściowo zaciemnione. W ten sposób haker dostał się na konto Mata Honana - bez dwóch etapów jego pomocniczy adres m******[email protected] był łatwy do odgadnięcia. Od tego momentu była to po prostu kwestia wykorzystania luk w klientach Amazona i Apple usługi bezpieczeństwa, aby przejąć to konto, a następnie otrzymać wiadomość e-mail dotyczącą resetowania hasła na adres me.com adres.
Gdyby włączono uwierzytelnianie dwuetapowe, haker zamiast tego zobaczyłby taki komunikat, kiedy próbowali odzyskać hasło - natychmiastowa przeszkoda w ich próbach przejęcia firmy Honan do Google konto.
Dziennikarze, zwłaszcza ci zajmujący się technologią, nie są normalnymi przypadkami, jeśli chodzi o korzystanie z telefonu lub konta internetowego, więc jeśli nie rozpowszechniasz swojego imienia i nazwiska w całym Internecie, jest mniej prawdopodobne, że padniesz ofiarą tego rodzaju kombinowanie.
Niemniej jednak jest to proste i łatwe zabezpieczenie, które powinni podjąć wszyscy posiadający konto Google, a zwłaszcza osoby mocno zainwestowane w ekosystem Google. W zależności od tego, jak korzystasz z Gmaila, osoba atakująca, która przejmie nad nim kontrolę, może skutecznie posiadać klucze główne do Twojego cyfrowego życia. Co więcej, mogliby uzyskać dostęp do wszystkich zakupów i innych treści związanych z Twoim kontem Google - jeśli jesteś dużym użytkownikiem Androida, może to oznaczać znaczną ilość rzeczy. Co gorsza, gdyby wyciągnęli wtyczkę z twojego konta, możesz to wszystko stracić.
Dlatego pomimo drobnych, sporadycznych niedogodności prosimy o włączenie uwierzytelniania dwuetapowego na swoim koncie Google. Podziękujesz nam, gdy nikt nie włamuje się w twoje gówno.