Page d'accueil Sécurité Authentification à deux facteurs piratée Pourquoi ne pas paniquer?

Authentification à deux facteurs piratée Pourquoi ne pas paniquer?

  • Joseph Goodman
  • 0
  • 1046
  • 177
Publicité

L’authentification à deux facteurs (2FA) est l’un des progrès les plus vantés en matière de sécurité en ligne. Plus tôt cette semaine, des nouvelles ont été annoncées qu'il avait été piraté.

Grant Blakeman - un concepteur et propriétaire du compte Instagram @gb - s’est réveillé pour constater que son compte Gmail avait été compromis et que des pirates informatiques lui avaient volé son identifiant Instagram. C'était en dépit d'avoir 2FA activé.

2FA: La version courte

2FA est une stratégie visant à rendre les comptes en ligne plus difficiles à pirater. Ma collègue Tina a écrit un excellent article sur ce qu'est 2FA et pourquoi vous devriez l'utiliser. Qu'est-ce que l'authentification à deux facteurs? Pourquoi devriez-vous l'utiliser? Authentification à deux facteurs et Pourquoi l'utiliser? Authentification à deux facteurs ) est une méthode de sécurité qui nécessite deux manières différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement la carte,…; si vous voulez une introduction plus détaillée, vous devriez le vérifier.

Dans une configuration typique d'authentification à un facteur (1FA), vous utilisez uniquement un mot de passe. Cela le rend incroyablement vulnérable. Si quelqu'un a votre mot de passe, il peut se connecter en tant que vous. Malheureusement, c’est la configuration utilisée par la plupart des sites Web..

2FA ajoute un facteur supplémentaire: généralement, un code unique envoyé à votre téléphone lorsque vous vous connectez à votre compte à partir d'un nouvel appareil ou d'un nouvel emplacement. Quelqu'un qui tente d'accéder à votre compte doit non seulement voler votre mot de passe mais aussi, en théorie, avoir accès à votre téléphone lorsqu'il tente de se connecter. De plus en plus de services, comme Apple et Google, implémentent 2FA Lock Down. Ces services sont désormais accessibles à deux. -L'authentification de facteur verrouille maintenant ces services avec l'authentification à deux facteurs L'authentification à deux facteurs est le moyen intelligent de protéger vos comptes en ligne. Jetons un coup d'oeil à quelques-uns des services que vous pouvez verrouiller avec une meilleure sécurité. .

L'histoire de Grant

L’histoire de Grant est très similaire à celle de l’écrivain Wired Mat Honan. Toute sa vie numérique a été détruite par des pirates informatiques qui souhaitaient accéder à son compte Twitter: il porte le nom d'utilisateur @mat. Grant, de même, a le compte Instagram de deux lettres @gb qui en a fait une cible.

Sur son compte Ello, Grant explique comment, tant qu'il possède son compte Instagram, il traite plusieurs fois par semaine des e-mails de réinitialisation de mot de passe non sollicités. C'est un gros drapeau rouge que quelqu'un essaie de pirater dans votre compte. De temps en temps, il obtenait un code 2FA pour le compte Gmail associé à son compte Instagram..

Un matin, les choses étaient différentes. Il s'est réveillé avec un texte lui indiquant que le mot de passe de son compte Google avait été modifié. Heureusement, il a pu retrouver l'accès à son compte Gmail, mais les pirates informatiques ont agi rapidement et ont supprimé son compte Instagram, en volant le pseudo @gb..

Ce qui est arrivé à Grant est particulièrement inquiétant car il s’est produit malgré son utilisation de 2FA.

Hubs et points faibles

Les hackers de Mat's et de Grant se sont appuyés sur des pirates utilisant des points faibles d'autres services pour accéder à un compte hub clé: leur compte Gmail. À partir de cela, les pirates ont pu effectuer une réinitialisation de mot de passe standard sur tout compte associé à cette adresse électronique. Si un pirate informatique accédait à mon compte Gmail, il pourrait accéder à mon compte ici à MakeUseOf, à mon compte Steam et à tout le reste..

Mat a écrit un excellent compte-rendu détaillé de la manière exacte dont il a été piraté. Il explique comment les pirates informatiques ont accédé en utilisant des points faibles de la sécurité d'Amazon pour reprendre son compte, utiliser les informations qu'ils ont obtenues pour accéder à son compte Apple, puis l'utiliser pour accéder à son compte Gmail - et à l'ensemble de sa vie numérique..

La situation de Grant était différente. Le bidouillage de Mat n'aurait pas fonctionné s'il avait eu 2FA activé sur son compte Gmail. Dans le cas de Grant, ils l'ont contourné. Les détails de ce qui est arrivé à Grant ne sont pas aussi clairs, mais certains détails peuvent être déduits. Grant écrit sur son compte Ello:

Donc, pour autant que je sache, l'attaque a en réalité commencé avec mon fournisseur de téléphone portable, ce qui a permis un certain niveau d'accès ou d'ingénierie sociale à mon compte Google, ce qui a ensuite permis aux pirates informatiques de recevoir un e-mail de réinitialisation du mot de passe provenant d'Instagram, leur donnant ainsi le contrôle. du compte.

Les pirates ont activé le transfert d'appel sur son compte de téléphone portable. On ignore si cela a permis de leur envoyer le code 2FA ou s'ils ont utilisé une autre méthode pour le contourner. De toute façon, en compromettant le compte de téléphone portable de Grant, ils ont eu accès à son compte Gmail, puis à son compte Instagram..

Éviter cette situation vous-même

Tout d’abord, ce qu’il faut retenir, ce n’est pas que 2FA est cassé et ne vaut pas la peine d’être installé. C’est une excellente configuration de sécurité que vous devriez utiliser; ce n'est pas pare-balles. Plutôt que d'utiliser votre numéro de téléphone pour l'authentification, vous pouvez le sécuriser davantage en utilisant Authy ou Google Authenticator. La vérification en deux étapes peut-elle être moins irritante? Quatre hackings secrets garantis pour améliorer la sécurité Une vérification en deux étapes peut-elle être moins irritante? Quatre hackages garantis pour améliorer la sécurité Voulez-vous une sécurité de compte à toute épreuve? Je suggère fortement d'activer ce qu'on appelle l'authentification "à deux facteurs". . Si les pirates de Grant ont réussi à rediriger le texte de vérification, cela l'aurait arrêté.

Deuxièmement, réfléchissez aux raisons pour lesquelles les gens voudraient vous pirater. Si vous détenez des noms d'utilisateur ou des noms de domaine valables, vous courez un risque accru. De même, si vous êtes une célébrité, vous aurez plus de chances d'être piraté. 4 façons d'éviter d'être piraté comme une célébrité 4 façons d'éviter d'être piraté comme une célébrité En 2014, des nus de célébrités ayant fui ont fait les gros titres dans le monde entier. Assurez-vous que cela ne vous arrive pas avec ces conseils. . Si vous ne vous trouvez dans aucune de ces situations, vous êtes plus susceptible d'être piraté par quelqu'un que vous connaissez ou dans un piratage opportuniste après la divulgation de votre mot de passe en ligne. Dans les deux cas, la meilleure défense consiste en des mots de passe sécurisés et uniques pour chaque service. Personnellement, j'utilise 1Password, un moyen utile de sécuriser vos mots de passe. Laissez 1Password pour Mac gérer vos mots de passe et vos données sécurisées. Laissez 1Password pour Mac gérer vos mots de passe et vos données sécurisées. Malgré la nouvelle fonctionnalité de trousseau iCloud d'OS X Mavericks, je préfère toujours la puissance de la gestion de mes mots de passe dans le classique et populaire 1Password d'AgileBits, désormais dans sa 4e version. et est disponible sur chaque plate-forme majeure.

Troisièmement, minimisez l’impact des comptes hub. Les comptes Hub vous facilitent la vie, mais également les pirates. Configurez un compte de messagerie secret et utilisez-le comme compte de réinitialisation du mot de passe pour vos services en ligne importants. Mat l'avait fait, mais les assaillants pouvaient en voir la première et la dernière lettre. ils ont vu m••••[email protected]. Soyez un peu plus imaginatif. Vous devez également utiliser cet email pour les comptes importants. Surtout ceux qui ont des informations financières attachées comme Amazon. De cette façon, même si les pirates informatiques ont accès à vos comptes hub, ils n'auront pas accès aux services importants.

Enfin, évitez de publier des informations sensibles en ligne. Les pirates informatiques de Mat ont trouvé son adresse à l'aide d'une recherche WhoIs, qui vous indique les propriétaires d'un site, ce qui leur a permis d'accéder à son compte Amazon. Le numéro de portable de Grant était probablement disponible quelque part en ligne également. Les adresses électroniques de leurs deux hubs étaient publiquement disponibles, ce qui a donné aux pirates un point de départ.

J'aime 2FA mais je peux comprendre comment cela changerait l'opinion de certaines personnes. Quelles mesures prenez-vous pour vous protéger après les piratages Mat Honan et Grant Blakeman?

Crédits d'image: 1Password.




Personne n'a encore commenté ce post.

Comment contourner les 140 caractères de Twitter avec Storm It
Des médias sociaux
Comment obtenir un compte vérifié sur Twitter (et en vaut-il la peine?)
Des médias sociaux
Pourquoi Twitter a raison d'être terrifié par Snapchat
Des médias sociaux
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.