Cum să-ți securizezi conturile online ca să fii sigur că nu vor fi sparte

Cum să-ți securizezi conturile online ca să fii sigur că nu vor fi sparte
Sursa foto: Tokenuri YubiKey pentru autentificare online în siguranță.

Principala măsură de securitate pe care experții în securitate cibernetică o recomandă utilizatorilor este folosirea autentificării în doi pași. E bine să știi, însă, că metoda nu este infailibilă, mai ales că, recent, un grup de hackeri a demonstrat că poate să își facă treaba chiar dacă acest nivel suplimentar de securitate există.

Potrivit Amnesty International, hackerii au reușit să spargă conturile de Gmail și Yahoo ale unor jurnaliști și activiști din Nordul Africii și Orientul Mijlociu. Cu ajutorul unor mailuri de phishing, atacatorii urmăreau să își convingă victimele să le dea acces la conturile lor de Google și Yahoo, chiar dacă aveau activată autentificarea în doi pași.

Mailurile arătau ca niște alerte de securitate din partea celor două companii și avertizau în legătură cu o posibilă breșă de date. Utilizatorii erau direcționați către o pagină care părea legitimă și îi îndemna să-și schimbe parola. Scopul era să obțină atât parolele, cât și codul unic din procesul 2FA.

Hackerii au reușit să facă asta prin automatizarea procesului de phishing: sistemul lansa engine-ul Chrome și intercepta toate datele de autentificare dintre utilizator și serviciul vizat, inclusiv codurile de verificare în doi pași, trimise prin SMS. Ei puteau astfel să le folosească înainte de expirarea termenului limită.

Se știe deja că SMS-ul nu este cea mai bună metodă de a transmite parolele unice în cazul autentificării în doi pași. Este destul de ușor de interceptat, fie prin infectarea smartphone-ului cu un troian, fie prin intermediul protocolului SS7 de transmitere a mesajelor, din cauza unei erori sau a unui atac direcționat.

Ce alte metode sigure de securizare a conturilor există

Aplicațiile de autentificare în doi pași pot fi o alegere mai bună decât SMS-ul. Poți folosi, de exemplu, Google Authenticator, Duo Mobile, FreeOTP sau Microsoft Authenticator, care funcționează atât pe Android, cât și pe iOS. Aplicațiile generează un cod unic nou la fiecare 30 de secunde și pot fi folosite pentru toate serviciile care oferă această opțiune.

Există însă și aplicații de autentificare care funcționează numai pentru un anumit serviciu – o practică întâlnită mai ales în domeniul jocurilor video, dar și la Adobe, care are Adobe Authenticator.

O altă măsură de securitate este stocarea parolelor unice în format digital sau tipărirea acestora pe hârtie pentru a le păstra în siguranță. Aceste coduri pot fi generate în avans, la cerere, iar în momentul conectării, vei folosi unul dintre ele pentru autentificare.

Este o metodă potrivită în special pentru serviciile pe care nu te loghezi frecvent, mai ales pentru momentele în care nu ai telefonul la îndemână.

Pentru conturile mai importante, cum ar fi cel bancar, cel mai bine ar fi să folosești un token hardware. Astfel, te asiguri că nimeni nu poate face tranzacții din contul tău, chiar dacă parola ta a fost aflată. E adevărat că multe bănci oferă posibilitatea de autentificare doar prin intermediul SMS-ului, așa că nu ai întotdeauna de ales, chiar dacă această metodă de protecție fiind una foarte slabă din punct de vedere al securității.

Există și „chei” de securitate pentru protejarea conturilor online, pe care le poți obține contra cost. Sunt tot dispozitive hardware, dar pe care le introduci în PC pentru a te putea loga într-un cont. Au avantajul că nu pot fi furate de hackeri decât dacă obțin acces la ele în lumea fizică, nu în cea virtuală. Standardul se numește Universal 2nd Factor (U2F), iar furnizori mari ca Facebook, Dropbox, Twitter sau Google deja l-au adoptat.

Poate fi o soluție pentru persoanele care au acces la documente confidențiale importante – oameni din companii, persoane publice sau jurnaliști de investigație, de exemplu. Un astfel de token ar fi cel produs de firma YubiKey, dar există și alte companii pe piață.

Navigare plăcută și nu uita: când ești în dubiu, mai bine nu accesa!


Conținutul articolelor din secțiunea Opinii reprezintă strict opiniile autorilor textelor și nu reprezintă neapărat poziția oficială a PLAYTECH.ro.

Dan Demeter
Articol scris de
Dan Demeter
Dan este Security Researcher în cadrul echipei globale de cercetare a Kaspersky, GReAT (Global Research and Analysis Team). Principalele lui domenii de interes sunt sistemele distribuite și atacurile informatice asupra sistemelor IoT.
Comentarii
12:49 / 01.02.2019