רק בשבוע שעבר, אינסטגרםדיווחים מאושריםשהיא משנה את הגדרת אבטחת החשבון שלה כדי לאפשר למשתמשים להיכנס עם קודי גישה מאפליקציות אבטחה, כמו Google Authenticator, במקום קודים פשוטים יותר מבוססי הודעות טקסט. למרות שזה לא החדשות הסקסיות ביותר, זה נהדר לראות את הנוהג הזה הולך וגדל בפופולריות: שימוש באפליקציה מבוססת אסימון, ולא בהודעת טקסט, כדי לבצע אימות באפליקציות ושירותים אחרים.
אתה צריך לעשות זאת בכל הזדמנות אפשרית (ואם אין לך אפשרות אחרת, בפָּחוּתהשתמש באימות דו-שלבי לעומת כלום). יש הרבה דיווחים שהראו עד כמה קל להאקר להתקשר לספק סלולרי, למצוא סוכן שירות לקוחות תמימים ולהעמיד פנים שהוא אתה. בורסת הביטקויןקראקן(בהומור) תיאר את התהליך בפוסט בבלוג משנת 2016:
איכשהו, ההמונים הובילו להאמין שמספרי טלפון קשורים זהויות בל יינתק ולכן מהווים כלי אימות טובים. יש סיבה ש-Kraken מעולם לא תמכה באימות מבוסס SMS: המציאות הכואבת היא שהטלקו שלך פועל ברמת האבטחה של בדיקת מעילים מדרגה שלישית. הנה דוגמה לאינטראקציה:
האקר:
אפשר לקבל את הז'קט שלי?
טלקו:
בטח, אפשר לקבל את הכרטיס שלך?
האקר:
איבדתי את זה.
טלקו:
אתה זוכר את המספר?
האקר:
לא, אבל זה ההוא שם.
טלקו:
אוקי מגניב. הנה לך. אנא דרג 10/10 בסקר ^_^
ולמרות שהספקים הסלולריים (וה-FTC) לדעת על השכיחות של פריצה זו - הנקראת לעתים קרובות "חטיפת סים" או "העברת סים" -מאמר לוח אם זהמציין שחלק מהספקים רק עכשיו מתחילים להציע אמצעים בסיסיים לסיכול קו ההתקפה הזה.
ואתה "בטוח יותר" רק אם באמת עשית משהו כמו הוספת קוד PIN מיוחד לחשבון שלך שאדם יצטרך לשלוח כדי לאמת שהוא אתה בעת התקשרות לשירות הלקוחות של ספק אלחוטי. אם לא עשית זאת, או אפילו ידעת שאתה יכול, גניבת המספר שלך על ידי האקר יכולה להיות קטסטרופלית ברשת, כפי שמציינת לוח האם:
"האקר אחד שנהג להחליף סים אמר לי שזה קורה "כל הזמן", למרות שספקי טלקום ידעו על שיטת ההתקפה הזו במשך שנים. לפי T-Mobile, מאות אנשים נפגעו מהתרמית הזו. בחודשים האחרונים, Motherboard דיבר עם יותר מ-30 קורבנות שגנבו את המספרים שלהם. בנוסף לטיפול באינסטגרם שלה, קורבן אחד של חטיפת סים שדיברתי איתו גרם לפריצת חשבונות אמזון, איביי, פייפאל, נטפליקס והולו שלה.
הפסק לאפשר לאתרים ולשירותים לשלוח לך הודעות קוד אימות דו-שלבי
יש כמה אתרים - אני לא אציין אילו מהם - שעדיין שולחים לי הודעות טקסט בכל פעם שאני צריך להיכנס. זה נוהל אבטחה גרוע שאני מאשים לחלוטין בעצלנות שלי; זה, ואני לא ממש מתעדכן כמו שצריך לגבי אתרים ושירותים שמציעים אימות דו-שלבי מבוסס אפליקציות במקום אימות דו-שלבי מבוסס טקסט.
אם אינך בטוח אם האתרים או השירותים המועדפים עליך תומכים בסוג זה של אימות דו-גורמי "מבוסס אסימון", יש לך שתי אפשרויות. ראשית, אתה יכול לגלול בין הודעות הטקסט שלך ולגלות מתי חברות שלחו לך קוד התחברות, ולאחר מכן ללכת ולסרוק את הגדרות האתר כדי לראות אם אתה יכול להגדיר אסימון תוכנה באפליקציה המועדפת עליך.
ומאז שציינתי את זה, אם רק התחלת עם אפליקציות אימות דו-גורמי ואין לך מושג במה להשתמש בכלל, לאתרים שתומכים באימות דו-גורמי מבוסס אסימון יש בדרך כלל המלצות ליישומים שבהם כדאי להשתמש. אחרת, הנה קומץ אפשרויות פופולריות:
Google Authenticator (דְמוּי אָדָם,iOS)
ייתכן שהשירות המועדף עליך אפילו ישתמש באפליקציה לנייד משלו כמאמת - כמו זה של פייסבוקמחולל קוד, למשל. אם זה מופעל, ואתה עובר להתחבר לפייסבוק בדפדפן אינטרנט חדש, תתבקש להזין קוד מהאפליקציה לנייד שלך בפייסבוק. (אם כי תמיד תוכל להגדיר את האימות הדו-גורמי של פייסבוק עם משהו כמו Google Authenticator, אם תרצה).
אם אין לך הודעות טקסט עם קודי כניסה לעבור, אולי בגלל שאתה מוחק אותן לאחר שנכנסת לאתר או לשירות, אתה יכול גם לבדוק אתTwo Factor Authאֲתַר אִינטֶרנֶט. לחץ על כל קטגוריה ותראה רשימה מקיפה של אפליקציות ושירותים, כמו גם אילו הגדרות אימות דו-גורמי הן תומכות - אם בכלל.
לא משנה איך תעשה את זה, גם אם אתה צריך לעבור באופן ידני על היסטוריית הדפדפן שלך כדי לראות באילו אתרים אתה נוהג לפקוד, עליך להעביר את כל מה שאתה ניגש לאימות דו-גורמי מבוסס אסימון. כך, אם האקר יקבל אי פעם את מספר הטלפון שלך, הוא לא יוכל לפרוץ לשארית חייך הדיגיטליים.
(4/8/2018)היי כולם! כותב המאמר כאן. שיניתי מעט את הכותרת כדי לציין את המינוח המועדף עבור כניסות אבטחה מבוססות טקסט - שניים-שָׁלָבאימות. בעוד שמספר אנשים עדיין קוראים לכל דבר אימות דו-שלבי, בין אם אתה מקבל הודעת טקסט או מסתכל על קוד התחברות באפליקציית אימות, אני לא רוצהלבלבל מישהו.