Du bör använda tvåfaktorautentisering varhelst den är tillgänglig. Det är inte perfekt, men det stoppar de flesta angripare i deras spår. Men luras inte till att tro att det är ogenomträngligt. Så är inte fallet.
Lösenordsproblemet
Lösenordet har varit det främsta sättet att säkra datorkonton sedan 1950-talet. 70 år senare översvämmas vi alla med lösenord, främst för onlinetjänster. Av nyfikenhet kollade jag min lösenordshanterare. Jag har 220 uppsättningar inloggningsuppgifter lagrade i den.
Om du inte är särskilt begåvad är det omöjligt att memorera det antalet komplexa och robusta lösenord. Det är därför människor återanvänder lösenord och använder lösenord som är svaga men lätta att komma ihåg. Naturligtvis är det den typ av beteende som riskerar att kompromissa med dina konton.
Automatiserade brute-force-attacker, ordboksattacker och andra uppslagsangrepp använder listor med ord och databaser med brutna lösenord för att försöka få obehörig åtkomst till människors konton. Närhelst det finns ett dataintrång görs uppgifterna tillgängliga på det mörka nätet för användning av cyberbrottslingar. De använder databaserna över trasiga lösenord som ammunition för sin programvara. Det maskingevär de stulna referenserna till konton och försöker matcha lösenorden och få åtkomst.
Webbplatsen Have I Been Pwned samlar in data från så många dataintrång som möjligt. Du kan fritt besöka webbplatsen för att kontrollera om din e-postadress eller något av dina lösenord har blivit utsatta i brott. För att ge dig en uppfattning om omfattningen av problemet finns det över 11 miljarder uppsättningar referenser i deras databaser.
Med så många lösenord finns det en stor chans att någon annan har valt samma lösenord som du. Så även om ingen av dina data någonsin har exponerats i ett brott, kan det hända att någon annans data & # 8212; som råkar ha använt samma lösenord som du & # 8212; Och om du har använt samma lösenord på många olika konton, riskerar det alla.
RELATERAD: Hur man kontrollerar om personalens e-postmeddelanden är i dataintrång
Lösenordspolicyer
Alla organisationer bör ha en lösenordspolicy som ger vägledning om hur du skapar och använder lösenord. Exempelvis måste minimilängden för ett lösenord definieras och reglerna för sammansättningen av ett lösenord bör anges tydligt så att all personal kan förstå och följa. Din policy måste förbjuda återanvändning av lösenord på andra konton och basera lösenord på husdjur eller familjemedlemmar & # 8217; namn, årsdagar och födelsedagar.
Frågan du har är hur poliserar du det? Hur vet du om personalen följer dessa regler? Du kan ställa in regler för minimikomplexitet i många system, så att de automatiskt avvisar lösenord som är för korta, som inte innehåller siffror och symboler eller är ordboksord. Det hjälper. Men tänk om någon använder lösenordet för ett av sina företagskonton som sitt Amazon- eller Twitter-lösenord? Du har inget sätt att veta.
Att använda tvåfaktorautentisering förbättrar säkerheten för dina företagskonton och ger också ett visst skydd mot dålig lösenordshantering.
RELATERAD: Problemet med lösenord är människor
Tvåfaktorautentisering
Tvåfaktorautentisering lägger till ytterligare ett lager av skydd för lösenordsskyddade konton. Tillsammans med ditt ID och lösenord måste du ha tillgång till ett registrerat, fysiskt objekt. Det här är antingen hårdvarudonglar eller smartphones som kör en godkänd autentiseringsapp.
En engångskod genereras av autentiseringsappen på smarttelefonen. Du måste ange den koden tillsammans med ditt lösenord när du loggar in på kontot. Donglar kan anslutas till en USB-port eller så kan de använda Bluetooth. De visar antingen en kod eller de genererar och överför en nyckel baserat på ett hemligt internt värde.
Tvåfaktorsautentisering kombinerar saker du vet (dina referenser) med en sak du äger (din smartphone eller dongel). Så även om någon gissar eller hämtar ditt lösenord kan de fortfarande inte logga in på kontot.
RELATERAD: SMS Two-Factor Auth isn't Perfect, But Du bör fortfarande använda det
Kompromissande tvåfaktorautentisering
Det finns flera sätt för en angripare att övervinna tvåfaktorautentisering och få tillgång till ett skyddat konto. Några av dessa tekniker kräver elittekniska funktioner och betydande resurser. Till exempel utförs attacker som utnyttjar sårbarheter i Signalingssystem nr 7-protokollet (SS7) vanligtvis av välutrustade och mycket skickliga hackingsgrupper eller statligt sponsrade angripare. SS7 används för att upprätta och koppla bort telefonibaserad kommunikation, inklusive SMS-meddelanden.
För att fånga uppmärksamheten hos denna kaliber av hotaktörer måste målen vara mycket värdefulla. & # 8220; Högt värde & # 8221; betyder olika saker för olika angripare. Utbetalningen är kanske inte en enkel ekonomisk, attacken kan till exempel vara politiskt motiverad eller en del av en industriell spionagekampanj.
I en & # 8220; port ut-bluff & # 8221; cyberkriminella kontaktar din mobiloperatör och låtsas vara dig. Tillräckligt väl praktiserade hotaktörer kan övertyga representanten att de är ägare till ditt konto. De kan sedan få ditt smartphone-nummer överfört till en annan smartphone de har tillgång till. All SMS-baserad kommunikation skickas till deras smartphone, inte din. Det betyder att alla SMS-baserade tvåfaktorautentiseringskoder levereras till cyberbrottslingarna.
Att använda socialteknik för att svänga anställda i mobiloperatörer är inte enkelt. En enklare metod är helt och hållet att använda en online-tjänst för SMS. Dessa används av organisationer för att skicka SMS-påminnelser, kontoaviseringar och marknadsföringskampanjer. De är också mycket billiga. För cirka 15 USD kan du hitta en tjänst som vidarebefordrar all SMS-trafik från ett smartphone-nummer till ett annat under en månad.
Naturligtvis ska du äga båda smartphonesna eller ha tillstånd från ägaren, men det är inte ett problem för cyberbrottslingar. På frågan om så är fallet är allt de behöver göra att säga ja. & # 8221; Det finns inte mer verifiering än så. Nollfärdigheter krävs av angriparna, och ändå är din smartphone äventyrad.
Dessa typer av attacker är alla inriktade på SMS-baserad tvåfaktorautentisering. Det finns attacker som lika enkelt kringgår appbaserad tvåfaktorautentisering också. Hotaktörerna kan skapa en e-postfishing-kampanj eller använda typskattning för att driva människor till en övertygande men bedräglig inloggningssida.
När ett offer försöker logga in uppmanas de att ange sitt ID och lösenord och deras tvåfaktorautentiseringskod. Så snart de skriver in sin autentiseringskod vidarebefordras dessa uppgifter automatiskt till inloggningssidan på den äkta webbplatsen och används för att komma åt offrets konto.
Don & # 8217; Sluta använda den!
Tvåfaktorautentisering kan övervinnas med en rad tekniker som sträcker sig från det tekniskt krävande till det relativt enkla. Trots detta är tvåfaktorsautentisering fortfarande en rekommenderad säkerhetsåtgärd och bör antas varhelst den erbjuds. Även i närvaro av dessa attacker är tvåfaktorautentisering en storleksordning säkrare än ett enkelt ID- och lösenordsschema.
Cyberbrottslingar kommer sannolikt inte att försöka kringgå din tvåfaktorsautentisering om du inte & # 8217 är ett högt värde, högt profilerat eller på annat sätt strategiskt mål. Så fortsätt använda tvåfaktorautentisering, det är mycket säkrare än att inte använda det.