Tvåfaktorsautentisering finns överallt. Från det ögonblick du loggar in på ditt Gmail -konto för att få åtkomst till dina ekonomiska uppgif.webpter via PayPal, är 2FA där för att hälsa dig som ett säkrare sätt att logga in. Du hittar det till och med när du konfigurerar en PS5 eller Xbox Series X. Heck , chansen är stor, du har redan brukat idag.
2FA, även känt som multifaktorautentisering, är ett extra lager av säkerhet - som används av nästan alla onlineplattformar - som stoppar många lågnivåhackare i deras spår och skyddar all din värdefulla privata information från att brytas.
- De bästa telefonerbjudandena 2022-2023-2022
- Ta reda på de bästa smartphonesna under 2022-2023-2022
Ack, hackningstaktiken utvecklas för evigt, och allt som krävs är en listig cyberkriminell för att hitta ett litet hål i rustningen och plundra det som en gång var ogenomträngligt för deras hjärta. Men du behöver inte vara en susare för att dekryptera kod för att få tillgång till ett intet ont anande offer.
I själva verket, enligt Verizon Data Breach Investigations Report 2022-2023-2020, rapporterade 61% av de 5250 säkerhetsöverträdelser som den amerikanska nätoperatören analyserade involverade stulna referenser. Naturligtvis är flerfaktorautentiseringens syfte att förhindra att skadliga aktörer får tillgång till ett konto även om de upptäcker ett superhemligt lösenord.
Men ungefär som hur Scar lämnade Mufasa för att falla till sin undergång i ett av de största svek genom tiderna, kan säkerhetsmetoden också vara den främsta orsaken till cyberkriminalitet. Den riktiga förrädaren? Ditt gamla telefonnummer.
För en bättre uppfattning om hur angripare enkelt kan använda tvåfaktorsautentisering mot dig är det bäst att veta vad onlinesäkerhetsmetoden är och hur den fungerar. Om det hjälper, tänk på ditt gamla telefonnummer som ärr genom hela det här stycket.
Vad är tvåfaktorsautentisering?
Multifaktorautentisering (MFA) är en digital autentiseringsmetod som används för att bekräfta en användares identitet för att ge dem åtkomst till en webbplats eller app genom minst två bevis. Tvåfaktorsautentisering, mer populärt känd som 2FA, är den vanligaste metoden.
För att 2FA ska fungera måste en användare ha minst två viktiga referenser för att kunna logga in på ett konto (med flera faktorer som vanligtvis innefattar mer än tre olika detaljer). Det betyder att om en obehörig användare får tag på ett lösenord, behöver de fortfarande tillgång till ett e -postmeddelande eller telefonnummer kopplat till kontot där en särskild kod skickas för en extra skyddsnivå.
Till exempel kommer en bank att kräva ett användarnamn och lösenord för att en användare ska få åtkomst till sitt konto, men den behöver också en andra form av autentisering som en unik kod eller fingeravtrycksigenkänning för att bekräfta en användares identitet. Denna andra faktor kan också användas innan en transaktion görs.
Som förklaras av mjukvaruföretaget Ping Identity, är 2FA: s erforderliga referenser uppdelade i tre olika kategorier: "vad du vet", "vad du har" och "vad du är." När det gäller "vad du vet" eller dina kunskaper beror det på dina lösenord, PIN -nummer eller svar på en säkerhetsfråga som "vad är din mors flicknamn?" (något jag aldrig kommer ihåg).
"Vad du är" är utan tvekan den säkraste kategorin, eftersom det bekräftar din identitet från ett fysiskt drag som är unikt bara för dig. Detta brukar ses på smartphones, till exempel en iPhone eller Samsung Galaxy -telefon, med hjälp av biometrisk autentisering som ett fingeravtryck eller ansiktsskanning för att få åtkomst.
När det gäller "vad du har" avser detta det som finns i din ägo, som kan vara allt från en smart enhet till ett smartkort. I allmänhet innebär denna metod att få en popup-avisering på din telefon via SMS som måste bekräftas innan du får åtkomst till ett konto. För proffs som använder Google Gmail för företag har du stött på denna kategori.
Tyvärr är den sista kategorin anledning till oro, särskilt när du slänger återanvändning av telefonnummer till blandningen.
Återvinning av telefonnummer
Enligt Federal Communications Commission (FCC) kopplas mer än 35 miljoner nummer i USA bort och blir tillgängliga igen genom att varje år tilldela dem en ny prenumerant. Visst, siffror är oändliga och allt, men det finns bara så många 10 eller 11-siffriga kombinationer ett mobilnät kan erbjuda sina kunder.
Storbritanniens kommunikationskontor (Ofcom), den enhet som tilldelar mobilnummer till brittiska nätleverantörer, uppger (via The Evening Standard) att den har en strikt policy för "använd den eller förlora den" för pay-as-you-go mobilnummer. Vodafone kopplar bort och återvinner ett telefonnummer efter bara 90 dagars ingen aktivitet, medan O2 gör detta efter 12 månader.
I USA låter nätverksleverantörer, inklusive Verizon och T-Mobile, kunder ändra och välja tillgängliga nummer som visas på gränssnitt för onlineändring via deras webbplats eller app. Det finns miljontals återvunna telefonnummer tillgängliga, med fler hopar sig varje dag.
Återvunna nummer kan vara skadliga för dem som ursprungligen ägde dem, eftersom många plattformar, inklusive Gmail och Facebook, är länkade till ditt mobilnummer för lösenordsåterställning eller, och här är kickern, tvåfaktorsautentisering.
Hur 2FA sätter dig i fara
En studie vid Princeton University upptäckte hur lätt alla kan få ett återvunnet telefonnummer och använda det för flera vanliga cyberattacker, inklusive kontoövertaganden och till och med neka åtkomst till ett konto genom att hålla det som gisslan och be om lösen i utbyte mot tillgång.
Enligt studien kan en angripare hitta tillgängliga nummer och kontrollera om något av dem är associerat med onlinekonton från tidigare ägare. Genom att titta på deras onlineprofiler och kontrollera om deras gamla nummer är länkat kan angripare köpa det återvunna numret (bara $ 15 på T-Mobile) och återställa lösenordet på kontona. Med 2FA kommer de sedan att ta emot och ange den speciella koden som skickas via SMS.
Forskarna testade 259 nummer de fick genom de två amerikanska mobiloperatörerna och fann att 171 av dem hade ett länkat konto på minst en av sex vanliga webbplatser: Amazon, AOL, Facebook, Google, PayPal och Yahoo. Detta kallas en "omvänd uppslagningsattack".
Forskare hittade en annan variant av attacken som gjorde det möjligt för skadliga aktörer att kapa konton utan att behöva återställa ett lösenord. Använda online -söktjänst för personer BeenVerified, en hackare kan söka efter en e -postadress med hjälp av ett återvunnet telefonnummer och sedan kontrollera om e -postadresserna varit inblandade i dataintrång med Have I Been Pwned ?. Om de hade det kunde angriparen köpa lösenordet på en cyberkriminell svartmarknad och bryta sig in på ett 2FA-aktiverat konto utan att behöva återställa ett lösenord.
För att göra saken värre kan angripare också ta ditt konto som gisslan. Ett otäckt trick ser en hackare få ett nummer för att registrera sig för flera onlinetjänster som kräver ett telefonnummer. När de är klara avbryter de tjänsten så att numret kan återvinnas för att en ny prenumerant ska kunna börja använda. När den nya användaren försöker registrera sig för samma tjänster meddelas hackaren via 2FA och nekar dem ett sätt att använda tjänsten. Hotaktören kommer sedan att be offret att betala lösen om de vill använda dessa onlinetjänster.
Att använda 2FA på detta sätt är fruktansvärt, men det hindrar inte att det händer. T-Mobile granskade forskningen redan i december och påminner nu prenumeranter om att uppdatera sitt kontaktnummer på bankkonton och sociala medieprofiler på dess nummerändringsstödssida. Men det är allt transportören har makt att göra, vilket betyder att de som inte är informerade kommer att vara öppna för attacker.
Alternativa sätt att använda 2FA
Om något, telefonnummer och 2FA gelar inte särskilt bra. Den goda nyheten är dock att det nu finns fler alternativ när du väljer att använda 2FA, inklusive ovannämnda biometriska metoder eller autentiseringsappar.
Dessa alternativ är dock inte alltid tillgängliga, och ibland ger onlinetjänster dig bara två alternativ för 2FA: ditt telefonnummer eller din e -postadress. Om du inte vill att hackare letar igenom din privata information är det bäst att välja e -postautentisering. Naturligtvis finns det de som inte alltid använder sina e -postmeddelanden och med tiden ofta kan glömma sina lösenord. Inget lösenord betyder inget sätt att få en autentiseringskod.
För att lösa detta är det bäst att hitta en lösenordshanterare. LastPass brukade vara go-to i flera år tack vare sin gratis nivå, men det finns andra utmanare värda att kolla in.
"Men tänk om jag redan använder mitt telefonnummer för 2FA?" Jag hör dig fråga. Om du funderar på att ändra ditt telefonnummer, se till att koppla bort ditt telefonnummer från onlinetjänsterna som det är anslutet till innan du byter. Och om du redan har gjort bytet är det väl värt din tid att uppdatera dina konton för att bli av med eventuella ärr (telefonnummer) som ligger och väntar på att backa dig när du minst anar det.
Syn
Tvåfaktorsautentisering finns överallt, och det är här för att stanna. Faktum är att Google snart tvingar dig att använda 2FA när du loggar in, med teknikjätten som garanterar en "säkrare framtid utan lösenord." Det här är ingen hemsk idé, men det finns potential för många människor att använda sina telefonnummer som ett sätt att identifieras. Vi är säkra på att lågnivåhackare gillar ljudet av det.
För att förhindra att något av detta händer, när 2FA börjar ta över alla onlineplattformar, är det bara att läsa titeln på den här artikeln och följa våra råd.