Cei mai importanți doi pași pe care îi vei face vreodată

Cei mai importanți doi pași pe care îi vei face vreodată
16:31 09.09.2016

Two-factor authentication sau autentificarea în doi pași este unul dintre lucrurile despre care se vorbește mult, ca o măsură suplimentară de siguranță binecunoscută. În securitatea cibernetică, însă, mi s-a dovedit de multe ori că nu e suficient să știi ceva, ci să iei măsuri. Ce trebuie să știi, deci, ca apoi să acționezi?

Autentificarea în doi pași este implementată de mai mulți furnizori de servicii online și presupune solicitarea unei modalități suplimentare de identificare, în momentul logării, în afară de parolă. Al doilea element este, în general, un cod trimis prin SMS sau pe e-mail, în ideea că, dacă un cont este spart, este puțin probabil ca atacatorul să aibă acces și la telefon sau la adresa de e-mail a victimei.

Mai ales în cazul unor parole previzibile și utilizate de mulți alții, de genul 1, 2, 3,4, data nașterii sau chiar “password”, nu e nicio surpriză că ajung să fie sparte conturi. Apropo de parole, dacă ți-ai activat autentificarea în doi pași și primești un SMS sau un e-mail de avertizare că cineva încearcă să se logheze în locul tău, este un semnal clar că ți-a fost spartă parola și este momentul să te gândești la alta.

Cele mai importante conturi, care ar trebui protejate astfel, sunt cele de online banking și orice alt cont unde ai asociat un card de plată. Apoi, importante sunt și adresa de email (ambele, dacă ai o adresă principală și una secundară), conturile AppleID sau iCloud, dacă ești utilizator de OS X, sau contul de Android. N-aș neglija nici conturile de Facebook și Twitter, primul mai ales pentru că se întâmplă să fie folosit ca sursă de phishing pentru alți prieteni, iar contul de Twitter, neapărat, dacă ești o persoană cu oarecare notorietate. Am văzut cu toții cum au fost preluate conturi de Twitter, adevărat că la case mai mari, dar nu se știe niciodată.

”Autentificarea în doi pași nu este, nici ea, infailibilă, ci doar o măsură care te face mai puțin vulnerabil în fața înfractorilor cibernetici.”

Dacă ești pasionat de jocurile online, ar fi o idee bună să-ți securizezi contul. De exemplu, cei de la Steam, una dintre cele mai mari platforme de jocuri online, oferă această posibilitate. Dacă mai pui un obstacol suplimentar în calea infractorilor cibernetici, le scazi șansele de a-ți prelua contul și a-l vinde apoi pe piața neagră. Cine nu e gamer nu poate înțelege că un cont de joc se poate vinde cu câteva sute de dolari, dar pasionații cunosc valoarea unor eroi aduși la un nivel superior sau a unor obiecte din joc.

Google și Facebook au chiar aplicații mobile, care generează coduri, așa că îți poți crea parole unice, în locul codului trimis prin SMS sau e-mail.

În afara conturilor personale, cred că autentificarea în doi pași trebuie activată și pe conturile de serviciu, fie că este vorba de conturi bancare sau de VPN, unde accesul se face adesea printr-o parolă și un stick USB. În plus, în companii se mai folosesc și generatoarele de coduri.

Autentificarea în doi pași nu este, nici ea, infailibilă, ci doar o măsură care te face mai puțin vulnerabil în fața înfractorilor cibernetici. De exemplu, anul trecut a fost mediatizat cazul unui dezvoltator de software, Partap Davis, care a pierdut într-o singură noapte 3.000 de dolari. Un hacker a obținut acces la cele două conturi de e-mail ale lui, la numărul de telefon și la contul de Twiiter. Astfel, a reușit să treacă de bariera pusă de autentificarea în doi pași și să fure cele 3.000 de dolari de pe un portofel Bitcoin. Aici este povestit cazul, dacă vrei să afli cum a fost posibil acest furt. Pe scurt, este foarte probabil ca totul să fi pornit de la o vulnerabilitate a paginii de resetare a parolei, pe mail.com. Avem de-a face, însă, cu o altă poveste: un utilizator care și-a luat măsuri de precauție, dar a avut de suferit din cauza unei vulnerabilități nereparate la timp de un furnizor.

Filozofia “nu o să mi se întâmple tocmai mie” sau “dacă se întâmplă, văd apoi ce fac”, o întâlnim, din păcate, la multe companii. Poate o să povestesc, la un moment dat, de ce mi se pare o concepție greșită.