Video: KAKO ZAŠČITIŠ FACEBOOK RAČUN? I Hitra finta #9 (Oktober 2024)
Twitterjev program v dveh korakih
Vprašajte Josha Aleksandra, izvršnega direktorja avtentikacijske družbe Toopher, kako se boste lotili Twitterja, ko je že vzpostavljena dvofaktorska overitev. Povedal vam bo, da to počnete točno tako, kot ste storili pred pojavom dvofaktorske overitve.
V kratkem, droll video o dvofaktorski avtentifikaciji Twitterja, Aleksander čestita Twitterju, da se je pridružil "varnostnemu dvostopenjskemu programu" in storil prvi korak, pri čemer priznava, da težava obstaja. Nato ponazori, kako malo pomaga dvofaktorna avtentikacija na osnovi SMS. "Vaša nova rešitev pušča vrata na široko odprta, " je dejal Aleksander, "za iste napade med ljudmi, ki so ogrozili ugled večjih virov novic in zvezdnikov."
Postopek se začne s hekerjem, ki pošlje prepričljivo e-poštno sporočilo in sporoči, naj spremenim svoje geslo za Twitter, s povezavo do lažnega spletnega mesta Twitter. Ko to storim, heker uporabi moje ujete poverilnice za prijavo, da se poveže s pravim Twitterjem. Twitter mi pošlje verifikacijsko kodo in jo vpišem ter jo tako dam hekerju. V tem trenutku je račun zaprt. Oglejte si video - postopek zelo jasno prikazuje.
Ne preseneča, da Toopher ponuja drugačno dvofaktorno avtentikacijo na osnovi pametnih telefonov. Rešitev Toopher spremlja vaše običajne lokacije in običajne dejavnosti ter se lahko nastavi tako, da samodejno odobri običajne transakcije. Namesto da vam sporočilo pošlje kodo za dokončanje transakcije, pošlje potisno obvestilo s podrobnostmi o transakciji, vključno z uporabniškim imenom, spletnim mestom in vključenim računanjem. Nisem ga še preizkusil, vendar se zdi smiselno.
Izogibajte se dvofaktnemu prevzemu
Varnostni rockstar Mikko Hypponnen iz podjetja F-Secure predstavlja še bolj grozen scenarij. Če niste omogočili dvofaktorske avtentikacije, bi jo lahko zlonamernik, ki pridobi dostop do vašega računa, nastavil za vas s svojim lastnim telefonom.
V objavi na spletnem dnevniku Hypponen poudarja, da če kdaj pošljete tvite po SMS-ju, imate s svojim računom že povezano telefonsko številko. To zvezo je enostavno ustaviti; preprosto pošljite besedo STOP na kratko kodo Twitter za vašo državo. Upoštevajte pa, da s tem tudi zaustavite dvofaktorsko preverjanje pristnosti. Pošiljanje GO ga znova vklopi.
Glede na to ima Hypponen strašljivo zaporedje dogodkov. Najprej heker dobi dostop do vašega računa, morda prek sporočilnega lažnega predstavljanja. Nato s sporočilom GO z lastnega telefona na ustrezno kratko kodo in po nekaj pozivih konfigurira vaš račun, tako da dvofaktorska koda za preverjanje pristnosti pride na njegov telefon. Zaprti ste.
Ta tehnika ne bo delovala, če ste že omogočili dvofaktorsko preverjanje pristnosti. "Morda bi morali omogočiti 2FA vašega računa, " je predlagal Hypponen, „preden nekdo drug to stori namesto vas." Ni mi popolnoma jasno, zakaj napadalec najprej ni mogel uporabiti spoof SMS-a za zaustavitev dvofaktorne avtentikacije in nato nadaljeval z napadom. Bi lahko bil bolj paranoičen kot Mikko?
