Por qué la autenticación de dos factores no siempre es completamente segura

En 15 minutos, puede perder su teléfono, identidad y dinero. Todo lo que se necesita es la autenticación insegura con dos factores y el error humano. La autenticación de dos factores es un método de seguridad adicional que se utiliza para completar los datos de conexión en los sitios web que los tienen. Es necesario confirmar que está conectado con un dispositivo físico que solo usted tiene, por ejemplo, como un dispositivo móvil y por SMS o una aplicación. La mayoría de la gente parece estar de acuerdo en que es increíblemente seguro y nadie realmente disputa esto. Hay casos en los que no es la estrategia de seguridad anti-grada que todos pensamos y está en casos de autenticación con dos factores activados por SMS.
Hoy, compartiré más detalles sobre la autenticación de dos factores, los riesgos de seguridad potenciales con SMS y cómo puede proteger su pirata. ¿Cuáles son los dos factores de autenticación? Por lo general, cuando inicia sesión en un sitio web, solo se le pide que ingrese su nombre de usuario y contraseña para obtener acceso. Aunque esto generalmente es seguro si usa credenciales de conexión sólidas, existen riesgos potenciales. Por ejemplo, si sus credenciales de conexión se comprometen debido a un ataque, como phishing u otros intentos de piratería exitosos, un hacker podría aprender su contraseña y podría obtener acceso a su sitio. Web.
Si no usa una contraseña segura, un hacker puede adivinar su contraseña para obtener la entrada. Esto se conoce como un ataque de fuerza bruta. Para obtener más detalles, consulte la Guía de seguridad de contraseña de WordPress completa y la Guía final de SPAM de WordPress. La autenticación de dos factores es un nivel adicional de seguridad conocido como varios factores. Agrega un paso adicional al proceso de conexión. En su lugar, solo necesita ingresar su nombre de usuario y contraseña para conectarse a un sitio web, con la autenticación de factores de dos activos, debe confirmar su identidad en un paso adicional. Hay varias formas de confirmar su identidad con dos factores de autenticación:
Una aplicación en su dispositivo móvil
SMS usando su móvil
Un símbolo de seguridad (larga cadena de letras y números aleatorios) que se copia físicamente de antemano
Una unidad USB cifrada
Llavero
Una tarjeta física que es leída por un lector de tarjetas
Por supuesto, la autenticación en línea con dos factores consiste en utilizar una aplicación, SMS, token de seguridad o unidades USB. Si ha instalado y activado defensor en su sitio web de WordPress y necesita el autenticador de Google desde su iPhone o dispositivo Android para conectarse con éxito, entonces ha cumplido con la autenticación de dos factores.
Para más detalles, vea qué es 2FA? Y defensor: ahora con dos factores autenticación por qué puede necesitar autenticación de dos factores, agregue una capa de seguridad adicional a su sitio de WordPress, cuando se active. Con aproximadamente 30,000 sitios web pirateados diariamente y más de 90,978 sitios de WordPress de todos los tamaños son atacados cada minuto, es lógico agregar un nivel adicional de seguridad. Es importante activar la autenticación de dos factores, pero comprender y comprender los riesgos potenciales.
Cuando la autenticación de dos factores no es segura en la mayoría de los casos, dos factores para los sitios de WordPress son seguros y es aconsejable usar esta opción para su cuenta, así como para las cuentas de otros usuarios.

Dicho esto, es posible que la autenticación con varios factores con SMS no siempre esté segura. Aunque tiene más que ver con el error humano, pero no de ti. Hay cosas se vuelven un poco peludas. Una persona llamada Justin Williams fue a Twitter, sorprendida, para informar al público sobre un evento en el que la autenticación en dos factores de SMS falló: alguien creó AT&T para obtener un nuevo SIM para mi teléfono, conectado a PayPal (usando 2FA) y retiró mucho dinero. Estoy lívido – Justin Williams (@Justin) 7 de julio de 2017 Más tarde, una publicación de blog que detalla todo el evento se publicó.
TLDR;
Se dieron cuenta de que su teléfono móvil no tenía servicio.
Han recibido un correo electrónico legítimo para restablecer la contraseña de Google.
Luego recibieron un correo electrónico legítimo de PayPal en el que se anunciaron sobre un retiro de su banco.
Se hizo una llamada a su proveedor de teléfonos móviles y verificaron su nombre, dirección y clave de seguridad. La telefonía móvil comentó que se han hecho varios intentos telefónicos para recibir una nueva tarjeta SIM, pero la persona fue rechazada porque no proporcionó la seguridad llave.
Desafortunadamente, en uno de esos intentos telefónicos, el agente no solicitó una clave de seguridad y el hacker logró recibir una nueva tarjeta SIM.
Debido a que PayPal solo requiere una dirección de correo electrónico y un SMS para restablecer su contraseña, el hacker pudo ingresar su cuenta de PayPal una vez que obtuvo la nueva tarjeta SIM.
Finalmente, el hacker los tomó durante unas horas tratando de encontrar un agente de servicio para los clientes que no cumplieron con el protocolo y pidió una clave de seguridad.
Pero aquí está el pie: una vez que el hacker llegó a un agente que violó el protocolo, solo duró unos 15 minutos para comprometer el teléfono móvil y robar dinero de la cuenta bancaria de la víctima. La conclusión: el hacker tuvo éxito porque la autenticación con dos factores de SMS no fue suficiente cuando el proveedor móvil no cumplió con los protocolos de seguridad básicos. Posibles riesgos de seguridad, ¿eso significa que toda la autenticación con dos factores o al menos el tipo de SMS no es seguro? De nada. Lo que significa es que existe el potencial de SMS y otras autentificaciones con varios factores para ser ineficientes cuando el error humano es un factor.
Hay muchas formas de autenticarse con dos factores que pueden ser inadecuados:
Como se mencionó anteriormente, su proveedor de teléfonos móviles viola las medidas de seguridad

No se ofrece un código de seguridad sólido a su proveedor de teléfonos móviles, usted elige contraseñas seguras
Sus contraseñas se almacenan con incertidumbre
Su teléfono u otros dispositivos móviles son robados
No mantenga su teléfono u otros dispositivos móviles bloqueados de manera segura
Su computadora o computadora portátil es robada
Caer presa de los ataques de phishing por correo electrónico o por teléfono
Publique un tweet anunciando que tiene criptomonedas que atraen mucha atención
Desafortunadamente, hay muchas formas en que el error humano puede ser demasiado real, por lo que es importante tomar tantos pasos como sea posible para garantizar la seguridad.
Cómo estar a salvo Afortunadamente, hay varias formas en que puede proteger y asegurar su sitio web de WordPress, identidad y mantener dos factores de autenticación:
Dele a su proveedor de teléfonos móviles una clave de seguridad y si llama personal y no le pregunta, mencione.
Use y aplique contraseñas seguras a su sitio web de WordPress.
Use diferentes contraseñas seguras para cada uno de sus sitios web de WordPress (y otros).
Instale y configure el defensor.
Active la autenticación con dos factores para todos o para tantos usuarios de su sitio.
No use y deshabilite dos factores por SMS.
Use un bloqueo seguro en sus dispositivos móviles y de computadora.
No guarde todas las contraseñas en su navegador o
Use un servicio seguro de almacenamiento de contraseña.
Almacene chips de seguridad física en varios lugares seguros.
Tenga cuidado por las notificaciones legítimas de restablecimiento de contraseña o las transferencias de PayPal por correo electrónico o SMS.
Tenga en cuenta las estafas de phishing y cómo puede detectar y evitar ser su víctima. No publique información personal o de identificación en línea, sin importar cuán inocentes puedan parecer, incluidos usted tiene fondos disponibles en PayPal o en otro lugar, cuando se va de vacaciones, su Número de teléfono, dirección de correo electrónico y otros detalles similares.
Mantenga su computadora y dispositivos móviles en una ubicación segura y míralos cuidadosamente cuando esté en público. También asegúrese de que nadie mire por encima de sus hombros cuando esté en ninguno de sus dispositivos.
Puede ser importante tener en cuenta que si usa un navegador que guarda todas sus contraseñas y su computadora es robada, todas sus contraseñas pueden verse comprometidas de esta manera. Por lo tanto, considere la eliminación de todas las contraseñas guardadas actualmente, activando la autenticación con dos factores para cada sitio web que lo proporciona o utilizando un servicio de almacenamiento de contraseña seguro.
También puede ser útil tener un servicio de respaldo programado para su sitio de WordPress y la computadora para que no pierda todos sus archivos si su sitio está roto o si su computadora es robada. Cifrar sus archivos también se demuestra que es beneficioso en estos casos. Si bien muchos de estos pasos pueden parecer evidentes, incluso para las personas más seguras, puede ser fácil olvidar o tener una falsa sensación de seguridad a veces. Tampoco debes subestimar a los piratas informáticos, porque hay ganancias financieras en juego para ellos. Para obtener más detalles, consulte la Guía Suprema de Seguridad de WordPress y la Guía final de SPAM de WordPress. La conclusión puede ser demasiado fácil de suponer que tiene todas las medidas de seguridad envueltas en un fondo pequeño, pero a veces solo puede tardar 15 minutos en demostrar cuán equivocado ha tenido consecuencias infelices. Si bien la autenticación de dos factores es generalmente segura, no siempre debe asumir que es la forma perfecta de seguridad, porque el error humano puede hacerlo completamente ineficiente. Ya sea que pierda $ 200 de su cuenta de PayPal o $ 8,000 en Bitcoin, las consecuencias de satisfacerse son graves. Por lo tanto, es importante mantenerse al día con las medidas de seguridad, y los pasos mencionados anteriormente deberían llevarlo a un excelente comienzo. ¿Utiliza actualmente dos factores para su sitio de WordPress? ¿Cuáles son sus razones para usarlo o no? ¿Cómo asegura su sitio de WordPress? Siéntase libre de compartir su experiencia en los comentarios a continuación.
Etiquetas:
Seguridad
mensaje
autenticación con dos factores