上周晚些时候,拼车服务公司优步承认其内部网络遭到入侵,据称黑客侵入了优步的源代码、电子邮件和Slack等其他系统。该公司随后很快向公众保证,没有客户数据被泄露–并不是所有的安全专家都认为这一说法可信。
当然,你仍然应该更改你的优步账户凭据,并验证你没有在其他任何地方使用以前的密码;这是一个简单而明智的预防措施,因为该公司的历史包括在大约一年的时间里掩盖一起重大的客户数据泄露事件。但这并不是这起事件的主要收获。
据报道,这次黑客攻击是社会工程的结果,并推翻了包括双因素身份验证(2FA)在内的安全措施。一名密码被泄露的员工收到了2FA身份验证请求的垃圾邮件,其中一项身份验证请求在黑客假扮成优步IT人员并通过Whatsapp联系该员工后最终获得批准。
这一结果并不意味着将强的、唯一的密码与双因素身份验证配对是无效的。只有社会工程是令人难以置信的强大的,捕食容易犯下的错误。事实上,最新的优步泄密事件突显了你可以更好地在线保护自己的三个关键方法。
密码是防止未经授权访问您的在线帐户的第一道防线。双因素身份验证是第二层防御措施,以防您的密码被泄露。
如果你选择一种向你的手机或手机上的应用程序发送请求的2FA形式,授权请求应该只有在你成功输入密码后才会弹出。
你。没有其他人。网站或应用程序本身拥有访问您的帐户和您在其上执行的所有活动的系统权限,而不会涉及您。(郑重声明,你的IT部门对与工作相关的账户也是如此。)
只有当您正在登录帐户时,才会看到2FA授权请求通过。如果不是这样,你就有麻烦了–尤其是当你几乎收到多个请求的垃圾邮件时。
所以你的第三层也是最后一层防御层是你敏锐、活跃的大脑。要警惕意外的2FA请求。它们绝对是鱼腥味的(也就是,“鱼腥味”)。
帐户访问应仅对两个实体可用:您和运行网站、服务或应用程序的公司。如上所述,该公司不需要您访问您的帐户。始终排除要求您的密码或双因素信息的通信是欺诈性的。
一旦您突然收到双因素身份验证请求,这就是您呼叫增援的提示。立即联系网站或应用程序的客服。您希望报告您的密码被未经授权使用,并在重新保护您的帐户时获得指导帮助。
(您可能会想立即更改您的密码-这不是一个糟糕的直觉,但如果2FA处于活动状态,您通常需要通过两个因素的检查才能通过。如果你对2FA只有这一种方法,而你的黑客向你的手机发送了多个请求,你可能会冒着意外批准潜在黑客的请求的风险,而不是你生成的请求。)
身份验证形式越方便,就越容易受到威胁。这一公理既适用于双因素身份验证,也适用于密码长度。
密码长度被讨论得更频繁,因为它是第一道防线,而且往往是唯一的防线。当人们使用任何形式的2FA时,科技记者和安全专家经常松一口气。但双因素身份验证方法在抵御黑客攻击和人为错误方面存在差异:
简而言之,如果你知道你可能更容易受到社交工程的影响(或者面临着更多尝试社交工程的风险),如果你有一天休息,选择一种遮盖你后背的方法。只需确保保护自己免受后勤问题的困扰–更安全的2FA形式更有可能出现这种情况。要获得更多保护提示,请务必阅读我们的指南,介绍5项增强安全性的简单任务。
– – END – –
– – 转载请声明来源:www.lanpanpan.com – –
编译:盼盼云笔记
