Dvoufaktorové ověření přes SMS nepomáhá tam. kde zaměstnanci operátora ochotně vydávají nové SIM karty někomu, kdo není vlastník telefonu.Dnes už se na něco takového zaměřuje organizovaný zločin. Viz Police expose SIM card hijacking ring a až si budete aktivovat dvoufaktor, tak rozhodně ne přes SMS.
Reddit hacknut, přes špatně fungující dvoufaktorové ověření u vlastních zaměstnanců společnosti. Reddit důvěřoval v dvoufaktor přes SMS a útočníkům se podařilo právy ověřovací SMS odchytit. Viz We had a security incident. Here’s what you need to know. Útočnící se dostali k datům ze záloh až do roku 2007, logům s e-maily poslanými od 3. června do 17. června, zdrojovým kódům, interním logům, konfiguračním souborům a k dalším souborů zaměstnanců Redditu.
To totiž umožňuje k účtu přidat další účet členů rodiny a umožnit jim nakupovat, ale v rukou útočníku se mění v nástroj co zablokuje původního vlastníka a jim umožní nakupovat. Obrana? Rozhodně dvoufaktorové ověření, lidé jsou totiž příliš laxní v ochotě napsat heslo kam nemají a odkliknout co nemají. Viz People are discovering that scammers are controlling their Apple accounts using a feature for families to share apps
A když už je řeč o dvoufaktoru, tak můžete začít v První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně. Co se Apple ID týče, tak viz Jak zapnout dvoufázové ověření pro AppleID (iOS, iPhone, iPad)
Založené na tom, že registrace na WhatsApp nevyžaduje přihlašovací údaje a je vázána na mobilní telefon (číslo). Útočník provede novou registraci pro určité telefonní číslo a poté zavolá vlastníkovi, že se „spletl“ a potřebuje kód, který dostal – tím si zaregistruje WhatsApp na cizí telefonní číslo. Zamezit tomu jde dvoufaktorem, který WhatsApp umožňuje zapnout – při nové registraci aplikace na (novém) telefonu totiž bude vyžadováno ještě zadání dvoufaktorového kódu. Viz Lebanese WhatsApp Users Report Their Accounts Have Been Compromised
Teď ještě aby se chytil za nos Twitter a umožnil totéž. Není moc reálných důvodů proč zadávat telefonní číslo. Celé je to navíc problematické pokud spravujete řadu účtů (třeba agentura) a chcete je chránit dvoufaktorem – pořizovat si další a další SIMky je poněkud otravné. Co navíc, dvoufaktor závislý na telefonu není bezpečný, v USA se objevil už nespočet případů, kdy někdo převzal kontrolu nad SIM uživatele a pomocí toho získal přístup k službám chráněných právě tímto způsobem. Viz Two-factor authentication for Facebook now easier to set up
Tipy týkající se dvoufaktoru
V upozornění jim navíc říká něco o „technologii, která heslo maskuje“ a rozhodně nečekejte slovo omluvy. Změna hesla na Twitteru ale bohužel nemusí stačit, heslo je kompromitované, takže pokud jste ho použili i kdekoliv jinde, měli byste ho změnit i tam. Ta „technologie“ mimochodem je bcrypt. Viz Keeping your account secure
Pokud vám vrtá hlavou, jestli si heslo změnit, tak ano, je to dobrý nápad a neuškodí změnit všechna hesla, která na Twitteru máte (ke všem účtům). Věřit „internímu vyšetřování“, které zjistilo, že nikdo chybu nezneužil prostě nejde. Při změně myslete i na to, že je dobré mít dvoufaktorové ověření.
Tady se vám bude hodit i Jak vyřešit správu účtu na Twitteru pro více lidí aby to bylo bezpečné a praktické?.
Pozor, pokud si dvoufaktorem chráníte Twitter, ale nechráníte e-mail s tím spojení, tak je to dost rizikové. Viz První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.
Dost nezodpovědné, protože zrovna e-mail je jedna z věcí, kterou byste si především měli chránit. Samozřejmě, je možné, že záplava uživatelů Gmailu ho nepoužívá pro nic, co je potřeba chránit. Viz Google’s Best Security Feature Is used By Less Than 10% Of Users a První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.
