Dvoufaktorové ověření

Hackeři se naučili obcházet dvoufaktorové ověření u Gmailu ve velkém měřítku.

Hackeři se naučili obcházet dvoufaktorové ověření u Gmailu ve velkém měřítku. Nejlépe jim to funguje u kódů posílaných SMS, ale obejít umějí i aplikační 2FA. Zajímavé na How Hackers Bypass Gmail 2FA at Scale je i zmínka o využití online služeb pro migrací účtů z Gmailu do Yahoo – po získání přístupu prostě všechny maily přenesou.  Bezpečnější ochrana účtu než klasický 2FA je použít hardware – klíče připojované k počítači přes USB.

TIP:  První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.

2015-12-26 13_08_26-Gmail

Reklamy

Hacknuté účty na Instagramu vyvolávají pochybnosti o dvoufaktorovém ověření

Hacknuté účty na Instagramu vyvolávají pochybnosti o dvoufaktorovém ověření, píší v Instagram hacks raise questions about its 2FA security. Tady je nutné dodat, že Instagram má 2FA v klasické základní SMS podobě, té co je méně vhodná, ale také lepší než nic. Na druhou stranu, tyhle pochyby vyvolává to, že zhruba 10 z 275 hacknutých uvádí, že používali 2FA.

TIP: V Jak zapnout dvoufaktorové ověření přihlášení na Instagramu. Chraňte si účet! je návod na zapnutí dvoufaktorového ověření na Instagramu. Do doby než se Instagram pochlapí s 2FA přes aplikací je to bohužel stále nutné jen přes SMS.

Instagram-1-billion-users

Dvoufaktorové ověření přes SMS nepomáhá tam kde zaměstnanci operátora ochotně vydávají nové SIM karty.

Dvoufaktorové ověření přes SMS nepomáhá tam. kde zaměstnanci operátora ochotně vydávají nové SIM karty někomu, kdo není vlastník telefonu.Dnes už se na něco takového zaměřuje organizovaný zločin. Viz Police expose SIM card hijacking ring a až si budete aktivovat dvoufaktor, tak rozhodně ne přes SMS.

1600-pexels-onepls-smartphone-sim-pexels-photo-63690.jpg

 

Reddit hacknut, přes špatně fungující dvoufaktorové ověření

Reddit hacknut, přes špatně fungující dvoufaktorové ověření u vlastních zaměstnanců společnosti. Reddit důvěřoval v dvoufaktor přes SMS a útočníkům se podařilo právy ověřovací SMS odchytit. Viz We had a security incident. Here’s what you need to know. Útočnící se dostali k datům ze záloh až do roku 2007, logům s e-maily poslanými od 3. června do 17. června, zdrojovým kódům, interním logům, konfiguračním souborům a k dalším souborů zaměstnanců Redditu.

2018-08-02 14_46_13-We had a security incident. Here's what you need to know. _ announcements.png

Podvodníci ovládají účty lidí u Apple s pomocí rodinného sdílení.

To totiž umožňuje k účtu přidat další účet členů rodiny a umožnit jim nakupovat, ale v rukou útočníku se mění v nástroj co zablokuje původního vlastníka a jim umožní nakupovat. Obrana? Rozhodně dvoufaktorové ověření, lidé jsou totiž příliš laxní v ochotě napsat heslo kam nemají a odkliknout co nemají. Viz People are discovering that scammers are controlling their Apple accounts using a feature for families to share apps

A když už je řeč o dvoufaktoru, tak můžete začít v První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně. Co se Apple ID týče, tak viz Jak zapnout dvoufázové ověření pro AppleID (iOS, iPhone, iPad)

5b33cb021ae66230008b4af5-640-919.jpg

Krádeže účtů na WhatsApp se množí, vektor je přitom klasické sociální inženýrství.

Založené na tom, že registrace na WhatsApp nevyžaduje přihlašovací údaje a je vázána na mobilní telefon (číslo). Útočník provede novou registraci pro určité telefonní číslo a poté zavolá vlastníkovi, že se „spletl“ a potřebuje kód, který dostal – tím si zaregistruje WhatsApp na cizí telefonní číslo. Zamezit tomu jde dvoufaktorem, který WhatsApp umožňuje zapnout  – při nové registraci aplikace na (novém) telefonu totiž bude vyžadováno ještě zadání dvoufaktorového kódu. Viz Lebanese WhatsApp Users Report Their Accounts Have Been Compromised

Whatsapp-920x518

Facebook (konečně) umožní dvoufaktor bez nutnosti zadat telefonní číslo.

Teď ještě aby se chytil za nos Twitter a umožnil totéž. Není moc reálných důvodů proč zadávat telefonní číslo. Celé je to navíc problematické pokud spravujete řadu účtů (třeba agentura) a chcete je chránit dvoufaktorem – pořizovat si další a další SIMky je poněkud otravné. Co navíc, dvoufaktor závislý na telefonu není bezpečný, v USA se objevil už nespočet případů, kdy někdo převzal kontrolu nad SIM uživatele a pomocí toho získal přístup k službám chráněných právě tímto způsobem. Viz Two-factor authentication for Facebook now easier to set up

Tipy týkající se dvoufaktoru

33186840_10155778344421886_7714039306913841152_o.png