La autenticación de dos factores (2FA) es uno de los avances más promocionados en la seguridad en línea. A principios de esta semana, se supo que había sido pirateado.
Grant Blakeman, diseñador y propietario de la cuenta de Instagram de @gb, se despertó y descubrió que su cuenta de Gmail se había visto comprometida y que los hackers le habían robado su identificador de Instagram. Esto fue a pesar de tener 2FA habilitado.
2FA: la versión corta
2FA es una estrategia para hacer que las cuentas en línea sean más difíciles de hackear. Mi colega Tina ha escrito un excelente artículo sobre qué es 2FA y por qué debería usarlo. ¿Qué es la autenticación de dos factores? ¿Por qué debería usarla? ¿Qué es la autenticación de dos factores? ¿Por qué debería usarla? Autenticación de dos factores (2FA ) es un método de seguridad que requiere dos formas diferentes de probar su identidad. Se usa comúnmente en la vida cotidiana. Por ejemplo, pagar con una tarjeta de crédito no solo requiere la tarjeta, ... Leer más; si quieres una presentación más detallada, deberías echarle un vistazo.
En una configuración típica de autenticación de un factor (1FA), solo usa una contraseña. Esto lo hace increíblemente vulnerable; si alguien tiene su contraseña, puede iniciar sesión como usted. Desafortunadamente, esta es la configuración que usan la mayoría de los sitios web.
2FA agrega un factor adicional: por lo general, un código de una vez que se envía a su teléfono cuando ingresa a su cuenta desde un nuevo dispositivo o ubicación. Alguien que intente entrar en su cuenta no solo debe robar su contraseña, sino también, en teoría, tener acceso a su teléfono cuando intente iniciar sesión. Más servicios, como Apple y Google, están implementando 2FA Bloquear estos servicios ahora con dos -Factor Autenticación Bloquear estos servicios ahora con autenticación de dos factores La autenticación de dos factores es la forma inteligente de proteger sus cuentas en línea. Echemos un vistazo a algunos de los servicios que puede cerrar con una mayor seguridad. Lee mas .
La historia de Grant
La historia de Grant es muy similar a la del escritor de Wired Mat Honan. Mat tuvo toda su vida digital destruida por piratas informáticos que querían acceder a su cuenta de Twitter: tiene el nombre de usuario @mat. Grant, de manera similar, tiene la cuenta de Instagram de dos letras @gb que lo convirtió en un objetivo.
En su cuenta de Ello, Grant describe cómo, durante el tiempo que ha tenido su cuenta de Instagram, ha estado lidiando con correos electrónicos de restablecimiento de contraseña no solicitados algunas veces a la semana. Esa es una gran bandera roja que alguien está tratando de hackear en su cuenta. De vez en cuando obtenía un código 2FA para la cuenta de Gmail que estaba adjunta a su cuenta de Instagram.
Una mañana las cosas fueron diferentes. Se despertó con un mensaje de texto en el que le decía que se había cambiado la contraseña de su cuenta de Google. Afortunadamente, pudo recuperar el acceso a su cuenta de Gmail pero los piratas informáticos habían actuado rápidamente y habían eliminado su cuenta de Instagram, robando el identificador @gb por sí mismos.
Lo que le sucedió a Grant es particularmente preocupante porque ocurrió a pesar de que usó 2FA.
Hubs y puntos débiles
Tanto los hackers de Mat y Grant se basaron en los piratas informáticos que utilizan puntos débiles en otros servicios para acceder a una cuenta clave de cubo: su cuenta de Gmail. A partir de esto, los hackers pudieron restablecer la contraseña estándar en cualquier cuenta asociada a esa dirección de correo electrónico. Si un hacker obtuviera acceso a mi Gmail, podría acceder a mi cuenta aquí en MakeUseOf, mi cuenta de Steam y todo lo demás.
Mat ha escrito una cuenta excelente y detallada de cómo exactamente fue pirateado. Explica cómo los hackers obtuvieron acceso usando puntos débiles en la seguridad de Amazon para hacerse cargo de su cuenta, usaron la información que obtuvieron de allí para acceder a su cuenta de Apple y luego la usaron para acceder a su cuenta de Gmail, y toda su vida digital.
La situación de Grant fue diferente. El truco de Mat no hubiera funcionado si hubiera tenido 2FA habilitado en su cuenta de Gmail. En el caso de Grant, lo solucionaron. Los detalles de lo que le sucedió a Grant no son tan claros, pero se pueden inferir algunos detalles. Escribiendo en su cuenta de Ello, Grant dice:
Así que, hasta donde puedo decir, el ataque realmente comenzó con mi proveedor de telefonía celular, que de alguna manera permitió cierto nivel de acceso o ingeniería social en mi cuenta de Google, lo que permitió a los piratas informáticos recibir un correo electrónico de restablecimiento de contraseña de Instagram, dándoles el control de la cuenta
Los hackers habilitaron el reenvío de llamadas en su cuenta de celular. No está claro si esto permitió que se les enviara el código 2FA o utilizaron otro método para evitarlo. De cualquier manera, al comprometer la cuenta del teléfono celular de Grant, obtuvieron acceso a su Gmail y luego a su Instagram.
Evitar esta situación usted mismo
En primer lugar, el punto clave de esto no es que 2FA se haya roto y no valga la pena configurarlo. Es una excelente configuración de seguridad que debería estar usando; simplemente no es a prueba de balas En lugar de utilizar su número de teléfono para la autenticación, puede hacerlo más seguro utilizando Authy o Google Authenticator. ¿Puede la verificación en dos pasos ser menos irritante? Cuatro Secret Hacks garantizados para mejorar la seguridad ¿Puede la verificación en dos pasos ser menos irritante? Cuatro Secret Hacks garantizados para mejorar la seguridad ¿Desea seguridad de la cuenta a prueba de balas? Recomiendo habilitar lo que se llama autenticación de "dos factores". Lee mas . Si los hackers de Grant lograron redirigir el texto de verificación, esto lo hubiera detenido.
En segundo lugar, considere por qué la gente querría hackearlo. Si tiene valiosos nombres de usuario o nombres de dominio, corre un mayor riesgo. Del mismo modo, si eres una celebridad, es más probable que seas atacado. 4 maneras de evitar ser atacado como una celebridad. 4 maneras de evitar ser atacado como una celebridad. Los desnudos de famosos filtrados en 2014 llegaron a los titulares de todo el mundo. Asegúrate de que no te suceda con estos consejos. Lee mas . Si no estás en ninguna de estas situaciones, es más probable que seas pirateado por alguien que conozcas o en un ataque oportunista después de que tu contraseña se filtre en línea. En ambos casos, la mejor defensa es contraseñas seguras y únicas para cada servicio individual. Personalmente uso 1Password, que es una forma útil de proteger sus contraseñas. Deje 1Password para Mac. Administre sus contraseñas y datos seguros. Deje 1Password para Mac. Administre sus contraseñas y datos seguros. A pesar de la nueva característica de iCloud Keychain en OS X Mavericks, aún prefiero el poder de Administrando mis contraseñas en la contraseña 1Password clásica y popular de AgileBits, ahora en su cuarta versión. Lea más y está disponible en todas las plataformas principales.
En tercer lugar, minimizar el impacto de las cuentas de concentrador. Las cuentas de concentrador te hacen la vida más fácil, pero también para los hackers. Configure una cuenta de correo electrónico secreta y utilícela como la cuenta de restablecimiento de contraseña para sus importantes servicios en línea. Mat había hecho esto, pero los atacantes pudieron ver la primera y la última letra del mismo; vieron [email protected]. Se un poco más imaginativo También debe usar este correo electrónico para cuentas importantes. Especialmente aquellos que tienen información financiera adjunta como Amazon. De esta forma, incluso si los piratas informáticos obtienen acceso a sus cuentas de concentrador, no obtendrán acceso a servicios importantes.
Finalmente, evite publicar información sensible en línea. Los piratas informáticos de Mat encontraron su dirección usando una búsqueda de WhoIs, que le informa sobre quién es el propietario de un sitio, lo que les ayudó a acceder a su cuenta de Amazon. El número de celda de Grant probablemente también estaba disponible en algún lugar en línea. Ambas direcciones de correo electrónico de su hub estaban a disposición del público, lo que dio a los piratas informáticos un punto de partida.
Me encanta 2FA pero puedo entender cómo esto cambiaría la opinión de algunas personas al respecto. ¿Qué medidas estás tomando para protegerte después de los hacks de Mat Honan y Grant Blakeman?
Créditos de imagen: 1 contraseña.