خبر

  • تک بورد - ایمن کردن زندگی دیجیتالی خود، بخش دوم: تصویر بزرگتر - و شرایط خاص

    ایمن کردن زندگی دیجیتالی خود، بخش دوم: تصویر بزرگتر - و شرایط خاص
    12 روز و 21 ساعت قبل

    ما اصول اولیه را انجام دادیم - اکنون اجازه دهید به چند مرحله دقیق تر برای محافظت از خود نگاه کنیم.
    در نیمه اول این راهنما برای امنیت دیجیتال شخصی، من اصول اولیه ارزیابی خطرات دیجیتال و محافظت از آنچه را که می توانید کنترل کنید: دستگاه های خود را توضیح دادم. اما دستگاه‌های فیزیکی که استفاده می‌کنید تنها کسری از قرار گرفتن در معرض دیجیتالی کلی شما را نشان می‌دهند.

    طبق گزارشی توسط Aite Group، تقریباً نیمی از مصرف‌کنندگان آمریکایی در دو سال گذشته نوعی سرقت هویت را تجربه کرده‌اند. انتظار می‌رود ضرر و زیان ناشی از این سرقت‌ها برای سال 2021 به 721.3 میلیارد دلار برسد - و این تنها با احتساب مواردی است که مجرمان حساب‌های آنلاین را کنترل می‌کنند و از آنها سوء استفاده می‌کنند. سایر بخش‌های ارزشمند زندگی دیجیتالی شما ممکن است خطرات پولی خاصی را متوجه شما نکنند، اما همچنان می‌توانند تأثیر محسوسی بر حریم خصوصی، ایمنی و سلامت مالی کلی شما داشته باشند.

    مورد مثال: سپتامبر گذشته، حساب توییتر من. هدف حمله یک مهاجم ناشناس قرار گرفت. حتی با وجود اینکه من اقدامات متعددی را برای جلوگیری از سرقت اکانت خود انجام داده بودم (از جمله احراز هویت دو مرحله ای)، مهاجم ورود به سیستم را برای من غیرممکن کرد (اگرچه آنها نیز از حساب خود قفل شده بودند). چندین هفته و چند ارتباط سطح بالا با توییتر طول کشید تا حساب کاربری من بازیابی شود. به‌عنوان فردی که معیشتش به اطلاع رسانی در مورد چیزها با یک حساب توییتر تأیید شده گره خورده است، این موضوع فراتر از ناراحتی بود و واقعاً کار من را خراب کرد.

    مهاجم آدرس ایمیل مرتبط با حساب توییتر من را از طریق پیدا کرد. نقض در یک جمع‌آورنده داده - اطلاعات احتمالاً از برنامه‌های کاربردی دیگری که من در مقطعی به حساب توییتر خود پیوند داده بودم به دست آمده است. هیچ خسارت مالی وارد نشد، اما باعث شد نگاهی طولانی و سخت به نحوه محافظت از حساب های آنلاین داشته باشم.

    اوه هی، دوباره این مرد است. into my Twitter account?)Enlarge / Oh hey, دوباره این مرد است (شاید این مردی باشد که سعی کرد وارد حساب توییتر من شود؟) Aitor Diago / Getty Images

    برخی از خطرات مرتبط با زندگی دیجیتالی شما توسط ارائه دهندگان خدماتی که مستقیماً تحت تأثیر کلاهبرداری هستند تا شما متحمل می شوند. برای مثال، شرکت‌های کارت اعتباری، سرمایه‌گذاری زیادی در کشف تقلب کرده‌اند، زیرا کسب‌وکارشان بر اساس کاهش ریسک تراکنش‌های مالی بنا شده است. اما سازمان‌های دیگری که اطلاعات شناسایی شخصی شما را مدیریت می‌کنند - اطلاعاتی که ثابت می‌کند شما برای بقیه دنیای دیجیتال متصل هستید - به همان اندازه هدف بزرگی برای جرایم سایبری هستند اما ممکن است در پیشگیری از کلاهبرداری به خوبی عمل نکنند.

    تبلیغات < h2>همه چیز در چندین حساب مهم است

    شما می توانید چندین کار را برای کاهش خطرات ناشی از نقض داده ها و کلاهبرداری هویت انجام دهید. اولین مورد این است که از افشای تصادفی اعتبارنامه هایی که با حساب ها استفاده می کنید جلوگیری کنید. نقض داده‌های یک ارائه‌دهنده خدمات به‌ویژه خطرناک است اگر بهترین روش‌ها را در نحوه تنظیم اعتبارنامه‌ها رعایت نکرده باشید. اینها برخی از بهترین اقداماتی هستند که باید در نظر بگیرید:

    از یک مدیر رمز عبور استفاده کنید که رمزهای عبور قوی ایجاد می کند که لازم نیست به خاطر بسپارید. این می تواند مدیری باشد که در مرورگر انتخابی شما تعبیه شده است یا می تواند یک برنامه مستقل باشد. استفاده از مدیر رمز عبور تضمین می کند که برای هر حساب رمز عبور متفاوتی دارید، بنابراین نقض یک حساب به حساب دیگر سرایت نمی کند. (با عرض پوزش مجدداً با فردی که از letmein123 مجدد استفاده می کند برای همه چیز صدا می زنم، اما وقت آن است که با موسیقی روبرو شوید.) در صورت امکان، از احراز هویت دو مرحله ای یا چند عاملی ("2FA" یا "MFA") استفاده کنید. این رمز عبور را با یک کد موقت یا تأیید دوم از جایی غیر از مرورگر وب یا جلسه برنامه شما ترکیب می کند. احراز هویت دو مرحله‌ای تضمین می‌کند که شخصی که رمز عبور شما را می‌دزدد نمی‌تواند از آن برای ورود به سیستم استفاده کند. در صورت امکان، از 2FA مبتنی بر پیامک استفاده نکنید، زیرا بیشتر مستعد رهگیری است (در این مورد در یک دقیقه بیشتر می‌شود). برنامه‌هایی مانند Authy، Duo، Google Authenticator یا Microsoft Authenticator را می‌توان با طیف گسترده‌ای از سرویس‌ها جفت کرد تا رمزهای عبور موقت 2FA ایجاد کنند یا اعلان‌های فشاری به دستگاه شما ارسال کنند تا بتوانید ورود به سیستم را تأیید کنید. همچنین می‌توانید از یک کلید سخت‌افزاری مانند Yubico YubiKey برای بخش‌بندی بیشتر احراز هویت از دستگاه‌های خود استفاده کنید. تصور هنرمند از نحوه ترول کردن بخش فناوری اطلاعات.Enlarge / Artist's impression of how to troll your IT Department. vinnstock / Getty Images یک آدرس ایمیل یا نام مستعار ایمیل جداگانه برای حساب‌های وب با ارزش خود تنظیم کنید تا همه ایمیل‌های مربوط به آنها از آدرس ایمیل معمولی شما جدا شود. به این ترتیب، اگر آدرس ایمیل اصلی شما در معرض نشت داده باشد، مهاجمان نمی توانند از آن آدرس برای ورود به حساب های مورد علاقه شما استفاده کنند. استفاده از آدرس‌های جداگانه برای هر سرویس همچنین دارای مزیت جانبی است که به شما اطلاع می‌دهد که آیا هر یک از آن سرویس‌ها اطلاعات شخصی شما را می‌فروشند یا خیر - فقط به مکان و زمان نمایش هرزنامه نگاه کنید. اگر مقیم ایالات متحده هستید، مطمئن شوید که برای دسترسی به اطلاعات مالیاتی و سایر اهداف، یک حساب برای شماره تامین اجتماعی خود از IRS درخواست کنید. بسیاری از بازپرداخت‌ها و کلاهبرداری‌های محرک در چند سال گذشته مربوط به کلاهبردارانی است که حساب‌هایی را برای SSN‌هایی که در IRS ثبت نشده بودند، «ادعا» می‌کردند، و باز کردن این نوع چیزها می‌تواند دردناک باشد. برای بررسی نقض حساب، یا از طریق سرویس ارائه شده از طریق مرورگر خود (Firefox یا Chrome) یا از طریق Troy Hunt's haveIbeenpwned.com (یا هر دو!) ثبت نام کنید. سرویس‌های مرورگر با استفاده از یک پروتکل امن، گذرواژه‌های ذخیره‌شده را در برابر فهرست‌های نقض بررسی می‌کنند، و همچنین می‌توانند اعتبارنامه‌های پرخطر استفاده‌شده را نشان دهند. برای کاهش خطرات سرقت هویت، گزارش های اعتباری خود را قفل کنید. Equifax برنامه‌ای به نام Lock & Alert ارائه می‌کند که به شما امکان می‌دهد گزارش اعتباری خود را از همه بجز اعتبار دهندگان موجود قفل کنید، سپس قبل از درخواست اعتبار جدید، قفل آن را از برنامه باز کنید. TransUnion یک برنامه رایگان مشابه به نام TrueIdentity دارد. Experian برای قفل کردن چک های اعتباری شما 24.99 دلار در ماه هزینه می کند، و TransUnion یک نسخه "حق بیمه" از سرویس خود دارد که گزارش های TransUnion و Equifax را در صورت تقاضا با 24.95 دلار در ماه قفل می کند. به عبارت دیگر، اگر می خواهید کنترل دقیقی بر تمام گزارش های اعتباری خود داشته باشید، می توانید این کار را با 300 دلار در سال انجام دهید. (شما می‌توانید با کمی جستجو، نسخه‌های رایگان این سرویس‌های مسدود کردن اعتبار را بیابید - در اینجا Experian و در اینجا TransUnion است - اما مرد، آن شرکت‌ها واقعاً می‌خواهند در ازای یک دسته پول، انبوهی از پول را از کیف شما بیرون بیاورند. "ارزش افزوده" بسیار مشکوک.) تبلیغات

    وقتی 2FA کافی نیست

    ادامه مطلب

    ایمن کردن زندگی دیجیتالی شما، قسمت اول: اصول اولیه اقدامات امنیتی متفاوت است . پس از تجربه توییتر خود متوجه شدم که راه‌اندازی 2FA برای محافظت از حساب من کافی نیست - تنظیم دیگری به نام «محافظت با رمز عبور» وجود دارد که از درخواست‌های تغییر رمز عبور بدون احراز هویت از طریق ایمیل جلوگیری می‌کند. ارسال یک درخواست برای بازنشانی رمز عبور و تغییر حساب ایمیل مرتبط با آن، 2FA من را غیرفعال کرد و رمز عبور را بازنشانی کرد. خوشبختانه، حساب پس از چندین درخواست بازنشانی مسدود شد و مهاجم نتوانست کنترل را به دست آورد. تصور هنرمند از احراز هویت دو مرحله‌ای. در این مثال، نمی‌توانید بدون رمز ورود emو/em کدی که توسط تلفن شما ایجاد شده است وارد شوید.Enlarge / Artist's impression of two-factor authentication. در این مثال، نمی‌توانید بدون رمز عبور و کدی که توسط تلفن شما ایجاد شده است وارد شوید. در این مورد، من هدف قرار گرفتم زیرا یک حساب تأیید شده داشتم. لزوماً لازم نیست که یک سلبریتی باشید تا مورد هدف یک مهاجم قرار بگیرید (مطمئناً خودم را چنین نمی‌دانم) - فقط باید اطلاعاتی به بیرون درز کرده باشد که شما را به یک هدف وسوسه انگیز تبدیل کند.

    برای مثال، قبلاً اشاره کردم که دور زدن 2FA مبتنی بر پیام های متنی آسان تر از 2FA مبتنی بر برنامه است. یکی از کلاهبرداری‌های هدفمندی که اغلب در دنیای امنیت مشاهده می‌کنیم، شبیه‌سازی سیم‌کارت است - جایی که مهاجم یک ارائه‌دهنده تلفن همراه را متقاعد می‌کند که یک سیم کارت جدید برای شماره تلفن موجود ارسال کند و از سیم‌کارت جدید برای ربودن شماره استفاده کند. اگر از 2FA مبتنی بر SMS استفاده می‌کنید، شبیه‌سازی سریع شماره تلفن همراه شما به این معنی است که مهاجم اکنون همه کدهای دو عاملی شما را دریافت می‌کند.

    علاوه بر این، ضعف‌هایی در مسیریابی پیام‌های SMS وجود دارد. در گذشته آنها را به جاهایی که نباید بروند بفرستند. تا اوایل سال جاری، برخی از سرویس‌ها می‌توانستند پیام‌های متنی را هک کنند و تنها چیزی که لازم بود شماره تلفن مقصد و 16 دلار بود. و هنوز نقص‌هایی در سیستم سیگنالینگ 7 (SS7)، یک پروتکل کلیدی شبکه تلفن وجود دارد که در صورت سوء استفاده می‌تواند منجر به تغییر مسیر پیام متنی شود.





خبرهای دیگر از فناوری اطلاعات