Autentificarea în doi pași nu este atât de sigură pe cât ai vrea

Autentificarea în doi pași nu este atât de sigură pe cât ai vrea
11:30 20.12.2018

Un nou raport al Amnesty International demonstrează cum hackerii pot sa treacă de sistemul de autentificare în doi pași foarte ușor.

Dacă ești mai precaut și ți-ai activat funcția de securizare în doi pași pentru email atunci află că s-ar putea să nu fie îndeajuns de sigură pentru hackeri.

Pentru a reuși să-ți spargă mailul de Gmail sau Yahoo hackerii automatizează întreg procesul cu o pagină de phishing în care i se cere victimei parola și se declanșează și un sistem care trimite un cod pe telefonul victimei. Codul este și el furat apoi datele sunt folosite pentru a se loga pe site-ul legitim, astfel hackerul poate prelua controlul contului.

Asta nu înseamnă că nu ar trebui să folosești un astfel de sistem de securitate, însă nu ar trebui să-ți pui toată încrederea în el. Autentificarea în doi pași adaugă un nou strat de securitate deoarece este generat acel cod pe care trebuie să-l tastezi manual, însă nu este 100% sigur.

De exemplu, dacă un hacker compromite un site unde ai cont și ți-a aflat parola poate încerca aceea parola și pe alte site-uri. Dacă nu ai autentificare în doi pași atunci hackerul poate intra și pe celelalte site-uri unde ai conturi. Dacă ai autentificare prin SMS atunci probabil hackerul se va opri.

Raportul Amenesty arată că hackerii au vizat mai mult de o mie de conturi de Google și Yahoo din Orientul Mijlociu și Nordul Africii în 2017 și 2018. Aceste atacuri probabil provin din țările din Golf deoarece prezintă asemănări cu atacurile din Emiratele Arabe unite asupra disidenților.

Phishing-ul începe în mod normal cu o pagină de Gmail falsă în care i se cere victimei să introducă parola. Odată ce victima introduce parola, hackerul redirecționează victima la altă pagină avertizându-i că li s-a trimis un cod 2AF prin SMS.

Numărul de telefon înregistrat în cont chiar primește un SMS apoi victima este rugată să introducă acel cod pe site.

Asta nu înseamnă că un hacker așteaptă ca tu să te loghezi pe mail. Întregul proces este automatizat. Serverele hackerilor fac toată treaba grea. Serverele acestora iau datele furate ale victimelor și le folosesc pentru logarea pe site-urile legitime care apoi generează un cod valid pentru autentificare.

Serverul hackerului cere acel cod real primit de victimă și apoi serverul trimite codul bun către serviciul legitim. Mai mult, hackerii creează App Passowrd, o parolă separată care le permite terților să aibă acces la contul de email.

O alternativă viabilă este utilizarea unor token fizici pe care trebuie să-i folosești când te loghezi. Este vorba un stick USB cu o cheie unică de securitate pe care îl vei introduce într-un PC, Mac sau Chromebook pentru logare.

DĂ PLAY ȘI FII MAI INFORMAT DECÂT PRIETENII TĂI