Hacknuté účty na Instagramu vyvolávají pochybnosti o dvoufaktorovém ověření

Hacknuté účty na Instagramu vyvolávají pochybnosti o dvoufaktorovém ověření, píší v Instagram hacks raise questions about its 2FA security. Tady je nutné dodat, že Instagram má 2FA v klasické základní SMS podobě, té co je méně vhodná, ale také lepší než nic. Na druhou stranu, tyhle pochyby vyvolává to, že zhruba 10 z 275 hacknutých uvádí, že používali 2FA.

TIP: V Jak zapnout dvoufaktorové ověření přihlášení na Instagramu. Chraňte si účet! je návod na zapnutí dvoufaktorového ověření na Instagramu. Do doby než se Instagram pochlapí s 2FA přes aplikací je to bohužel stále nutné jen přes SMS.

Instagram-1-billion-users

Reklamy

Dvoufaktorové ověření přes SMS nepomáhá tam kde zaměstnanci operátora ochotně vydávají nové SIM karty.

Dvoufaktorové ověření přes SMS nepomáhá tam. kde zaměstnanci operátora ochotně vydávají nové SIM karty někomu, kdo není vlastník telefonu.Dnes už se na něco takového zaměřuje organizovaný zločin. Viz Police expose SIM card hijacking ring a až si budete aktivovat dvoufaktor, tak rozhodně ne přes SMS.

1600-pexels-onepls-smartphone-sim-pexels-photo-63690.jpg

Reddit hacknut, přes špatně fungující dvoufaktorové ověření

Reddit hacknut, přes špatně fungující dvoufaktorové ověření u vlastních zaměstnanců společnosti. Reddit důvěřoval v dvoufaktor přes SMS a útočníkům se podařilo právy ověřovací SMS odchytit. Viz We had a security incident. Here’s what you need to know. Útočnící se dostali k datům ze záloh až do roku 2007, logům s e-maily poslanými od 3. června do 17. června, zdrojovým kódům, interním logům, konfiguračním souborům a k dalším souborů zaměstnanců Redditu.

2018-08-02 14_46_13-We had a security incident. Here's what you need to know. _ announcements.png

Podvodníci ovládají účty lidí u Apple s pomocí rodinného sdílení.

To totiž umožňuje k účtu přidat další účet členů rodiny a umožnit jim nakupovat, ale v rukou útočníku se mění v nástroj co zablokuje původního vlastníka a jim umožní nakupovat. Obrana? Rozhodně dvoufaktorové ověření, lidé jsou totiž příliš laxní v ochotě napsat heslo kam nemají a odkliknout co nemají. Viz People are discovering that scammers are controlling their Apple accounts using a feature for families to share apps

A když už je řeč o dvoufaktoru, tak můžete začít v První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně. Co se Apple ID týče, tak viz Jak zapnout dvoufázové ověření pro AppleID (iOS, iPhone, iPad)

Krádeže účtů na WhatsApp se množí, vektor je přitom klasické sociální inženýrství.

Založené na tom, že registrace na WhatsApp nevyžaduje přihlašovací údaje a je vázána na mobilní telefon (číslo). Útočník provede novou registraci pro určité telefonní číslo a poté zavolá vlastníkovi, že se „spletl“ a potřebuje kód, který dostal – tím si zaregistruje WhatsApp na cizí telefonní číslo. Zamezit tomu jde dvoufaktorem, který WhatsApp umožňuje zapnout – při nové registraci aplikace na (novém) telefonu totiž bude vyžadováno ještě zadání dvoufaktorového kódu. Viz Lebanese WhatsApp Users Report Their Accounts Have Been Compromised

Facebook (konečně) umožní dvoufaktor bez nutnosti zadat telefonní číslo.

Teď ještě aby se chytil za nos Twitter a umožnil totéž. Není moc reálných důvodů proč zadávat telefonní číslo. Celé je to navíc problematické pokud spravujete řadu účtů (třeba agentura) a chcete je chránit dvoufaktorem – pořizovat si další a další SIMky je poněkud otravné. Co navíc, dvoufaktor závislý na telefonu není bezpečný, v USA se objevil už nespočet případů, kdy někdo převzal kontrolu nad SIM uživatele a pomocí toho získal přístup k službám chráněných právě tímto způsobem. Viz Two-factor authentication for Facebook now easier to set up

Tipy týkající se dvoufaktoru

Twitter ukládal hesla v čitelné podobě, teď chce po 300 milionech uživatelů aby si změnili hesla.

V upozornění jim navíc říká něco o „technologii, která heslo maskuje“ a rozhodně nečekejte slovo omluvy. Změna hesla na Twitteru ale bohužel nemusí stačit, heslo je kompromitované, takže pokud jste ho použili i kdekoliv jinde, měli byste ho změnit i tam. Ta „technologie“ mimochodem je bcrypt. Viz Keeping your account secure

Pokud vám vrtá hlavou, jestli si heslo změnit, tak ano, je to dobrý nápad a neuškodí změnit všechna hesla, která na Twitteru máte (ke všem účtům). Věřit „internímu vyšetřování“, které zjistilo, že nikdo chybu nezneužil prostě nejde. Při změně myslete i na to, že je dobré mít dvoufaktorové ověření.

Tady se vám bude hodit i Jak vyřešit správu účtu na Twitteru pro více lidí aby to bylo bezpečné a praktické?.

Pozor, pokud si dvoufaktorem chráníte Twitter, ale nechráníte e-mail s tím spojení, tak je to dost rizikové. Viz První věc, co musíte ochránit dvoufaktorovým ověřením, je váš e-mail. Smrtelně. Vážně.

rychlofky

Stručnější už to prostě být nemůže. V krátkosti je síla!

Dvoufaktorové ověření