מהו אימות דו-שלבי?
אימות דו-שלבי (MFA) היא שיטת אימות הדורשת מהמשתמש לספק שני גורמי אימות או יותר כדי לקבל גישה למשאב כגון חשבון מקוון. אימות דו-גורמי דורש בדיוק שני גורמים לאימות. שקול את שניהם כדרך להוסיף שכבות אבטחה נוספות לחשבון.
איך מגדירים אימות מרובה גורמים?
אינסטגרם, כמו פלטפורמות מקוונות רבות אחרות, מציעה את האפשרות להוסיף MFA לחשבון.
במקרה זה, אינסטגרם משתמשת באימות דו-שלבי (2FA), אשר יוצר שיטת אימות דו-שלבי. זה מצריך קוד אימות שנשלח לטלפון הסלולרי שלך באמצעות SMS כאשר אתה מנסה להיכנס ממיקום או מכשיר לא ידועים.
המשמעות היא שהכניסה לחשבון שלך מורכבת משני שלבים, הזנת הסיסמה שלך והזנת קוד האימות. את ההוראות המלאות של אינסטגרם כיצד להפעיל את 2FA וכיצד זה עובד ניתן למצוא כאן – לחילופין, תוכלו לצפות בסרטון למטה.
מדוע עליך להפעיל אימות דו-שלבי?
האבטחה של הפלטפורמות המקוונות שלך חשובה.
כפי שראית בעת ניתוח סדרת "איך פרצתי" שלנו, ניתן היה למנוע 44.4% מהפריצות באמצעות סיסמאות ייחודיות ואימות דו-שלבי. ההשפעה של פריצות אלו באינסטגרם היא אמיתית: אנו רואים לא רק את ההשפעה הפסיכולוגית על הקורבנות, אלא גם את ההשפעות המזיקות וההרס על העסקים שלהם.
ולמרות ש-MFA לא יכול למנוע כל התקפה, זה יוצר מחסום כניסה הרבה יותר קשה לתוקפים.
דו"ח חקירות הפרת נתונים לשנת 2022 של Verizon שפורסם לאחרונה (DBIR) מסכם כי סיסמאות שנחשפו הם הדרך העיקרית לפרצת נתונים. בעיקרו של דבר, אישורים כגון סיסמאות הם הדרך העיקרית שבה תוקף יכול לקבל גישה לחשבון שלך.
היופי ב-MFA הוא שגם אם ההאקר השיג את הסיסמה שלך, הוא עדיין צריך לעבור אימות דו-שלבי כדי להעביר אימות באינסטגרם. הכל מסתכם בהפחתת נקודות תורפה רבות ככל האפשר כדי להפוך את חייו של האקר לקשים ככל האפשר.
המגבלות של אימות רב-גורמי.
עכשיו אולי אתה חושב ש-MFA הגיוני וכל מה שאתה צריך לעשות הוא להגן על החשבון שלך. למרבה הצער, זה לא המקרה – אז אל תהיה שאנן עם אבטחת האינסטגרם שלך. למרות ש-MFA מוסיף שכבת אבטחה נוספת, זה לא פתרון מושלם. MFA, כמו כל כלי אבטחה, ניתן לפריצה.
דרכים נפוצות בהן ניתן לנצל MFA כוללות טכניקות כגון הנדסה חברתית, התקפות החלפת סים, מניפולציות טכניות, התקפות פיזיות ושילוב של שתי שיטות או יותר. KnowBe4 פרסמה מאמר שמפרט יותר.
דוגמה מצוינת לעקיפת MFA היא המקרה של ג'סיקה וונג'יה. משפיענית הלייף סטייל, שיש לה למעלה מ-166,000 עוקבים, קיבלה הודעה מהחשבון של חברתה.
חברתה כתבה שהיא זקוקה לעזרה דחופה וביקשה מג'סיקה את מספר הנייד שלה (שהיה הווקטור שלה לאימות) ובהמשך את הקוד, שנשלח אליה.
מאוחר יותר היא גילתה שהחשבון של חברתה נגנב על ידי האקר שהשתמש בו כנקודת התחלה לפריצת חשבונות אחרים. ג'סיקה לא הייתה מודעת להונאה ושלחה את הקוד הלאה – והדגישה עד כמה ההנדסה החברתית יעילה להחריד וכיצד היא יכולה לערער לחלוטין אימות רב-גורמי.
אם אפשר לעקוף את MFA, איך אני מגן על האינסטגרם שלי מפני האקרים?
תכונת 2FA המיושמת באינסטגרם בהחלט צריכה להיות מופעלת. עם זאת, כפי שהוזכר לעיל, יש להשתמש בו בשילוב עם אמצעים כגון שימוש בסיסמאות מורכבות וייחודיות.
לא פחות חשוב להיזהר מהנדסה חברתית ופישינג ולהבין איך הם עובדים. לרוע המזל, כאשר בדקנו כיצד אינסטגרם של Cuddle Buddy נפרץ, ריצ'י נפל על אימייל מזויף מ"אינסטגרם" שהציע אימות סימן ביקורת כחול. האקרים משתמשים במספר טקטיקות פישינג אחרות, עליהן תוכלו ללמוד במאמר זה. כמו כן, השתתף בחידון הדיוג של Google כדי ללמוד את עצמך בנושא זה.
גיבוי לאינסטגרם שלך: הדרך היחידה להגן באמת על העסק שלך