כיצד להעיף האקרים מחשבון הטבעת שלך

הרבה נכתב על האבטחה של מצלמות הטבעת של אמזון. אני עדיין טוען שרוב הבעיות שאנשים מגלים באבטחה של החברה, כולן מחייבות תוקף לדעת את שם המשתמש והסיסמה שלך - משהו שאתה יכול לעזור למנוע על ידי שימוש בסיסמה חזקה וייחודית לחשבון שלך. אבל אל תפסיק שם.

לוח האם של Vice נכון לקחת את נוהלי האבטחה הרופפים של החברה למשימהמאמר התחקיר האחרון שלו, הדן כיצד רינג אינו עושה דבר כדי ליידע אותך כאשר מישהו מנסה (או הצליח) להיכנס לחשבון שלך. לדוגמה, אתה לא מקבל אזהרה כאשר מישהו נכנס לחשבון שלך באמצעות כתובת IP שמעולם לא שימשה בעבר כדי להיכנס לחשבון שלך - ואדם זה, בתורו, אינו מאותגר לספק דרך נוספת לאמת שהוא אתה. אין גם דרך לראות כמה אנשים מחוברים לחשבון שלך בכל עת, וגם לא רשימה של כל כתובות ה-IPישנכנס בהצלחה לחשבון שלך.

למעשה, נראה ש-Ring לא עושה הרבה כדי למנוע את התקפות הכוח האכזריות שהאקרים משתמשים בהן כדי לפרוץ לחשבונות Ring (באמצעות אישורים שהודלפו בעבר). כפי שמתאר לוח האם:

"התוכנה של האקרים של רינג פועלת על ידי בדיקה מהירה אם כתובת דוא"ל וסיסמה בפורטל ההתחברות באינטרנט של רינג עובדות; האקרים ישתמשו בדרך כלל ברשימה של שילובים שכבר נפגעו משירותים אחרים. אם מישהו יבקש יותר מדי בקשות שגויות להתחבר, שירותים מקוונים רבים ימנעו ממנו לעשות זאת באופן זמני, יסמנו את כתובת ה-IP שלו כחשודה, או יציגו קפטצ'ה כדי לבדוק שהמשתמש שמנסה להיכנס הוא תוכנית אנושית ולא תוכנית אוטומטית. עם זאת, נראה שלרינג יש הגנות מינימליות עבור זה. לוח האם הזין בכוונה סיסמה שגויה לחשבון שלנו בפורטל ההתחברות תוך כדי התחברות מרשת האנונימיות של Tor עשרות פעמים ברצף מהיר. בשום שלב רינג לא ניסה להגביל את ניסיונות ההתחברות שלנו או להציג captcha."

החדשות הטובות? אתה עדיין יכול לאבטח את חשבון ה-Ring שלך, אבל תצטרך לעשות צעד נוסף כדי לסכל כל מי שכבר נכנס וצופה בך קורא את זה עכשיו.

אבטחת חשבון הטבעת שלך היא קלה, אך בעלת ניואנסים

בתור מוזילהכותב, הדרך הטובה ביותר להרחיק תוקפים מחשבון ה-Ring שלך היא לאפשר אימות דו-גורמי. ועושה זאתקל. אתה רק צריך לפתוח את אפליקציית הטבעת במכשיר ה-iOS, iPadOS או ה-Android שלך, למשוך את הגדרות החשבון שלך דרך הסמל השמאלי העליון (הדמות בעלת שלוש השורות), ולחפש "אימות דו-גורמי" תחת "שפר את האבטחה" ."

הפעל אותו, הזן את הסיסמה שלך, ספק טלפון מספר נייד שבו הוא יכול להשתמש כדי לשלוח לך קוד אימות, והזן את הקוד הזה כשתתבקש.

מכיוון ש-Ring שולחת לך קודים רק בכל פעם שאתה, או מישהו אחר, מנסה לגשת למצלמות ה-Ring שלך ממכשיר חדש, טכניקת אימות "דו-שלבי" זו מעט פחות מאובטחת מהגדרת אימות "דו-שלבי" נכונה. (שֶׁלָההבדל עדיןלמשתמש ממוצע, אבל חשוב לדעת.)

עם זאת, הנה הבעיטה: הפעלת אימות דו-גורמי של רינג (כדי להשתמש בטרמינולוגיה שלו) לא מאתחלת אף אחד מהחשבון שלך שהואכְּבָרמחובר. זוהי הבחנה מוזרה אך חשובה: אתה תהפוך את החשבון שלך לאבטח יותר עבורעָתִידִי, אבל לא ההווה.

הדרך היחידה להתנתק מכל מי שיכול לגשת לחשבון שלך, נכון לרגע שכתבנו מאמר זה, היא לשנות את הסיסמה שלך. עשה זאת לאחר שהגדרת אימות דו-שלבי, וחשבון ה-Ring שלך יהיה מאובטח ככל שניתן.

מכיוון שלא תקבל הודעות אם למישהו יש את אישורי הכניסה שלך ומנסה להיכנס כמוך, רק כדי להיכשל באימות הדו-שלבי, תצטרך לסמוך על התוקף האמור.גַםלא מצא דרך ליירט את ההודעות שלך.

וכאן הדיווח של Vice מקל על הראש: מכיוון שרינג מספקת את המינימום המינימלי ביותר של מידע למשתמשים שלה, באמת לא תהיה לך דרך לדעת אם מישהו הצליח להשיג את אישורי החשבון שלךולעקוף את האימות הדו-גורמי שלך. בעוד שהסיכויים נמוכים להפליא שתוקף אקראי יוכל לעשות זאת, הסיכוייםצריךלהיות אפס. אין שום סיבה ש-Ring לא יוכל להגיד לך מתי מישהו מנסה להיכנס כמוך, אז תוכל לשנות את הסיסמה שלך או לאבטח את שיטת האימות שלך.