Peaksite tõesti oma mobiilikontole lisama PIN -koodi. Siin on põhjus.

Thomas Trutschel / Getty Images

Häkkeril on üsna lihtne teie mobiilikonto kaaperdada, oma telefoninumbrit juhtida ja kasutada seda seadistatud kahefaktorilisest autentimisest möödahiilimiseks ja veebikontodele sissemurdmiseks.

Teie telefoninumber on see, kuidas paljud ettevõtted, sealhulgas teie pank, e -posti teenusepakkuja ja sotsiaalmeedia teenused, kontrollivad sisselogimisel, et see on tegelikult teie *. See näitab ka seda, kui paljud neist ettevõtetest taastavad teie konto (kasutades tekstisõnumit või telefoni) helistage), kui olete parooli unustanud.



See haavatavus on väga hirmutav, kuid seda on lihtne kaitsta: muutes oma paroole paremaks, kaitstes oma mobiilioperaatori kontot ja kasutades võimaluse korral mitte-SMS-põhist autentimist.

Rääkisin turbeeksperdiga Jessy Irwin selle kohta, mida KÕIK Interneti-kasutajad peavad tegema oma paroolide turvalisuse tagamiseks veebikontodel.

Aga enne kui sisse astun kuidas digitaalse elu sulgemiseks on siin mõned taustad miks sa peaksid.



sidewaysdictionary.com

Võib-olla olete palju kuulnud kahefaktorilisest autentimisest, 2FA-st või kaheastmelisest kinnitamisest.


See on konto sisselogimistüüp, mis nõuab kahte tegurit, tavaliselt parooli ja täiendavat kinnituskoodi.

Paljud veebisaidid

toetage seda: tõenäoliselt Apple, Google, Facebook ja teie pank.

Võib-olla olete ka kuulnud, et kahe tegur on oluline, sest ainult paroolid pole piisavalt head .

Kuna paljud inimesed kasutavad paroole uuesti, võib ühe ettevõtte turvarikkumine mõjutada mitut kontot. Ja seal on a palju kohta turvarikkumised . Tegelikult juhtub küberkuritegevust sagedamini nüüd kui kunagi varem , osaliselt seetõttu, et nii suur osa meie asjadest (rahandus, suhtlus, arved jne) elab võrgus.

Kuid kui olete seadistanud SMS-põhise kahefaktorilise autentimise, saab sellest mööda minna.

Häkkimine muutub üha keerukamaks. SMS-põhine kinnitamine pole tingimata ohutu, sest keegi, kellel on teie isiklik teave (nt teie sotsiaalkindlustusnumbri või krediitkaardi neli viimast numbrit) või isegi võltsitud isikutunnistus, saab üsna hõlpsalt helistada teie operaatori klienditeenindusse ja muuta SIM -kaardile või teisaldage konto teisele operaatorile. See häkkimismeetod suunab kõik teie tekstid, sealhulgas SMS-iga saadetud kahefaktorilised autentimiskoodid, häkkerile.



Nicole Nguyen / BuzzFeed News

Seda teavet võib tunduda raske saada, kuid kui teate, on selle saamiseks üsna lihtsaid viise. Üks väga populaarne taktika on pakkuda klienditoele isikutele asjakohast teavet, mis pälvib nende usalduse, kuid aitab teil ka konto kohta muud teavet hankida, ütles Irwin.

See on see, mis juhtus Black Lives Matteri aktivist DeRay Mckesson eelmisel aastal. Mckessoni Twitteri kontot häkkiti, kuigi tal oli lubatud kahefaktoriline autentimine. Häkker kasutas Mckessoni sotsiaalkindlustusnumbri nelja viimast numbrit, et saada klienditeeninduse kaudu juurdepääs oma Verizoni kontole ja seejärel muuta mobiilikonto SIM -kaarti.



Twitter: @deray

Häkkida võivad ka tehnoloogiaeksperdid. FTC peatehnoloogi ja paroole ja autentimissüsteeme uuriva Carnegie Melloni professori Lorrie Cranori mobiilikonto, kaaperdati 2016. aastal oli keegi sisenenud mobiilioperaatori jaemüügipoodi võltsitud isikutunnistusega, millel oli Cranori nimi ja esitanud tema sotsiaalkindlustusnumbri neli viimast numbrit. Varasel õnnestus Cranori kontole arve esitada kahele uuele iPhone'ile ja varastada tema telefoninumber.

Häkkerid leiavad kelmuste abil ka tee teie operaatori kontole. Sisse selline katse , keegi helistab teile ja esitab teie vedaja ning palub teil lugeda tekstiga saadetud koodi. Seda SMS -koodi võidakse kasutada teie konto jaoks varuparooli taastamine , mis tähendab, et häkkerid ei vaja isegi teie telefoninumbri ülevõtmiseks teie parooli - just seda SMS -koodi.



Twitter: @SwiftOnSecurity

Kui häkker saab teie mobiilikonto kontrolli alla, võib see teie kontod muul viisil haavatavaks muuta, kuna mõned teenused kasutavad parooli unustamisel konto taastamiseks SMS -e või telefonikõnet.

Turvaekspert Jessy Irwin ütles, et kuigi SMS on kahefaktorilise autentimise jaoks kõige vähem turvaline meetod, on see parem kui mitte midagi, mitte olemuslikult hea ega kuri. Kui asjad muutuvad kleepuvaks, pole tegelikult kahefaktoriline autentimine, vaid siis, kui SMS on konfigureeritud kasutama konto taastamiseks, hoiatas Irwin.

Irwin ütles, et see ei ole suur probleem enamiku arvutit kasutavate inimeste jaoks, kuid see on palju suurem probleem neile, kellel on suur risk, sealhulgas inimestele, kellel on krüptovaluuta.

Seda tüüpi rünnak-mobiilikonto kaaperdamine-on saamas nii laialt levinud, et T-Mobile saatis selle teate sel nädalal ja kutsus kliente üles lisama oma kontole pääsukoodi.



Samantha Oltman / BuzzFeed News

T-Mobile suunab kliendid sihtlehele, mis on pühendatud kaitse väljatõmmatava kelmuse eest . Kui häkker on saanud juurdepääsu teie operaatori kontole, saab häkker teie kahefaktorilised koodid või lähtestab teie paroolid mobiiltelefoni numbri teisaldamiseks teisele operaatorile.

Ettevõte soovitab klientidel lisada oma kontodele pääsukood, mis on veel üks kaitseliin juhuks, kui häkker helistab.


Niisiis, siin saate teha oma veebikontode kaitsmiseks praegu.



GIF -i esitamiseks või peatamiseks puudutage GIF -i esitamiseks või peatamiseks puudutage nbc.com / Via giphy.com

1. Kõik, kellel on mobiiltelefon (mitte ainult need, kes kasutavad T-Mobile'i), peaksid helistama oma operaatorile ja lisama * kordumatu * pääsukoodi või kinnitama, et neil on see juba olemas.

Kui lisate oma operaatorile PIN -koodi või pääsukoodi (mida muudate regulaarselt!), Siis saate seda teha peab kasutage SMS-põhist kahefaktorilist autentimist, teie operaatori kontol on täiendav turvakiht (näiteks iCloudi kontoga kasutajatel, kes on ainult üks Apple'i seade ).

Kuni saate ise oma PIN -koodi luua, ütleb Irwin, et see on hea viis häkkerite eemale hoidmiseks: kui [teie konto] jaoks on olemas PIN -kood/pääsukood, peab ründaja välja selgitama, mis see on, ja proovige seda teha selle protsessi järgmisse etappi. Tavaliselt, kui [PIN-kood] on kliendi juhitav ja mitte midagi rumalat nagu teie majanumber, on see päris hea hoiatav tegur.

Veenduge, et 1) te ei kasuta teise konto pääsukoodi uuesti ja 2) et see on nii mitte sotsiaalkindlustusnumbri neli viimast numbrit, sest see on tõenäoliselt juba mustal turul müügil .

T mobiilne

Helistage telefonil 611 oma T-mobiiltelefonilt või numbril 1-800-937-8997 ja saate lisada vähemalt kuuekohalise parooli.

Verizon

Minema vzw.com/PIN , helistage (800) 922-0204 või külastage poodi isiklikult, kellel on valitsuse isikut tõendav dokument.

AT&T

Pärast veebis oma kontole sisselogimist klõpsake paremas ülanurgas oma nimel> Näita profiili > Sisselogimisandmed > all Traadita pääsukood > vali Hallake täiendavat turvalisust.

Täiendav turvalisus nõuab täiendavat pääsukoodi, kui proovite kontole võrgule juurde pääseda, arutada seda mis tahes jaekaupluses või helistada AT & T klienditeenindusliini.

Sprint

Sprint nõuab, et kõik kliendid lisaksid oma kontole PIN -koodi ja turvaküsimused. Sa saad uuendage seda teavet logides sisse Sprint.com> Minu Sprint > Profiil ja turvalisus > kerige kuni Turvateave > Salvesta.

2. Kasutage paroolihaldurit nagu LastPass (millel on parim tasuta versioon) või 1Parool (inimestele, kellel on iOS- ja Mac -seadmed) teie PIN -koodide meeldejätmiseks ja tugevate * ainulaadsete * paroolide loomiseks iga veebisaidi jaoks.



LastPass

Tehke nimekiri kõigist oma veebikontodest. Head paroolihaldurid saavad teie jaoks luua tugevaid juhuslikke paroole. Seadistage need tugevad paroolid kõigi oma kontode jaoks nii kiiresti kui võimalik.

Seejärel tehke oma elu lihtsamaks, laadides mobiiltelefonile alla paroolihalduri rakenduse versiooni ja võimaluse korral halduri brauserilaiendi. Nii saate hõlpsasti oma keerulisi paroole kopeerida ja kleepida, kui neid vajate.

Kui teil on iPhone, saate LastPassi või 1Passwordi avamiseks oma telefonis kasutada isegi Face ID või Touch ID. Kui teil on Android -telefon, milles töötab Android 6.0 või uuem, saate kasutada ka oma sõrmejälge.

3. Vaadake oma veebikontod üle. Kas mõni neist kasutab SMS-põhist kahefaktorilist autentimist? Kui jah, siis vaadake, kas saate alternatiivi kasutada.

Teise tegurina saate kasutada mitmeid teisi meetodeid, mis on ohutumad kui tekstisõnumipõhine kinnitamine.

Mulle meeldib kasutada turvavõtmed , nagu need, mis pärinevad Yubico nimega Yubikeys. See on füüsiline pöidla ajami kujuline tarvik, mis sobib teie võtmehoidjale. Teise tegurina kasutamiseks ühendage võti arvuti USB-porti või kui sellel on NFC-traadita kiip, hoidke seda võtit oma NFC-toega Android-telefoni all. IPhone'iga inimesed peavad kasutama autentimisrakendust (sellest lähemalt allpool).

Need võtmed on palju turvalisemad, kuna häkkeritel peab olema teie füüsiline võti, ja oma konto rikkumiseks õige parool. Panen tähele, et turvavõtmed ei tööta Safari brauserit kasutavate inimeste jaoks, kuid need, kes Chrome'is veebis surfavad.



Yubikey

Turvavõtmeid saate kasutada turvaliste sisselogimistena sellistel saitidel Google , Facebook , Dropbox ; paroolihaldurid Dashlane ja LastPass ; ja a hunnik muid teenuseid .

Võtmete peamine probleem on aga see, et nendega ei ühildu piisavalt teenuseid. Yubikeys on autentimise üks tugevamaid teisi tegureid, kuid üldiselt on turvavõtmed teistest teguritest kõige vähem levinud, ütles Irwin.

Veel üks probleem on Irwini sõnul see, et nad võivad kaotsi minna: olles töötanud koos nooremate laste ja eakatega, on yubikey kaotamine või valesti paigutamine väga reaalne kasutatavuse probleem. Mõned inimesed panevad need oma võtmetele, kuid võtmete kaotamise või varastamise korral on konto sulgemine tõenäoline. Seega peaksite võtme seadistamisel seadistama teise varuvõtme juhuks, kui esimesega juhtub midagi halba.

Füüsilised võtmed ei tööta kõigi jaoks. Näiteks iPhone'i kasutajad ei saa mobiilseadmetes võtmeid kasutada ja see süsteem võib välismaale reisides olla masendav ega saa teie varuvõtit kergesti kätte.

Neile, kes soovivad palju teada saada turvavõtmete kohta, siin on super tehniline, põhjalik ülevaade igasuguseid turvavõtmeid ja kes neid kasutama peaks.

4. See viib mind järgmise parima meetodini: kolmanda osapoole autentimisrakendused.

Autentimisrakendus, näiteks Authy (iOS -i ja Androidi jaoks) ja Google Authenticator (jaoks ios ja Android ), võib olla teie turvavõtme varukoopia või konto eraldiseisev teine ​​tegur. Mõned rakendused ei toeta turvavõtmeid, kuid toetavad autentimisrakendusi, näiteks Twitter .



Authy

Seadistamiseks toimige järgmiselt Google Authenticator rakendus või Authy rakendus teie Google'i kontole. Saate oma rakenduse seadistada Facebook , Amazon (vt 5. samm), Dropbox ja Twitter samuti.

Autentimisvahendid on suurepärased, kuna teevad üsna palju asju: neid saab kasutada kontole autentimiseks, kui olete lennukis ja seade on võrguühenduseta või kui reisite ja te ei saa SMS -e vastu võtta, ütles ta. Irwin.

Need rakendused genereerivad ajutisi ajapõhiseid kinnituskoode. Nende vastuvõtmiseks ei pea te olema Internetiga ühendatud ja nad ei ole SIM -kaaperdamise kaudu häkkimise suhtes haavatavad.

5. Printige välja ühekordselt kasutatavate varukoodide paberkoopia.

Igaks juhuks saab teie telefon, kuhu on installitud autentimisrakendus varastatud, veenduge, et saaksite viidata oma ühekordselt kasutatavatele varukoodidele. Paljud teenused annavad teile kahefaktorilise autentimise seadistamisel teatud arvu varukoode. Iga koodi saab sisestada ainult üks kord ja saate igal ajal rohkem genereerida.

Siin on otsetee varukoodide vaatamiseks Google ja Facebook . Printige need välja. Asetage need sõna otseses mõttes turvalisse või muusse turvalisse ruumi.

See varukood võimaldab teil siseneda oma kontole, tühistada juurdepääsu autentimisrakendustele ja muuta oma konto parooli.

Lõppkokkuvõttes lasub ettevõtetel kohustus rakendada turvalisi autentimismeetodeid ja kaitsta oma kliente.

PIN-koodi lisamine oma mobiilikontole ja teatud kaheastmelise autentimise seadistamise tagamine on parim viis veebiturvalisuse enda kätte võtmiseks. Ükski kaitsemeetod ei ole 100% garantii, et teid ei häkita, kuid mõnevõrra parem kaitse kui mitte midagi on palju parem koht.

Vahepeal soovitab Irwin ettevõtetel uuesti läbi vaadata isikuandmetel põhinevad turvasüsteemid: kui tehnoloogid loovad süsteeme, mis tuginevad kliendinumbri, kasutaja või kasutaja kordumatu identifikaatorina telefoninumbrile, aadressile või sotsiaalkindlustuskontole, otsustavad nad riski välistada. kasutajatele.

Ma tean - seda kõike on palju ja ma olen kindel, et teil on miljon küsimust. Löö mind kommentaaridesse või säutsu Irwin @jessysaurusrex . Seniks aga olge rahulikud ja jätkake kahe teguriga!



GIF -i esitamiseks või peatamiseks puudutage GIF -i esitamiseks või peatamiseks puudutage abc.go.com / Via giphy.com

Miljonid Verizoni klientide konto PIN -koodid lekkisid - siin on põhjus, miks teil peaks see ikkagi olema

buzzfeed.com

Sa hakkad ühel päeval surema. Keda usaldate kõigi oma paroolidega?

buzzfeed.com