Domov Varnostna ura Dvofaktorna avtentikacija ne bi preprečila kramp ap twitterja

Dvofaktorna avtentikacija ne bi preprečila kramp ap twitterja

Video: CBI court to hear YS Jagan's petition for exemption from personal appearances - TV9 (November 2024)

Video: CBI court to hear YS Jagan's petition for exemption from personal appearances - TV9 (November 2024)
Anonim

Z dežele " če le… " Če bi Associated Press s svojim računom na Twitterju vzpostavil dvofaktorno avtentikacijo, pro-sirijski hekerji ne bi mogli ugrabiti računa in uničiti škode.

Lepa in urejena ideja, v resnici pa ne. Čeprav je dvofaktorska avtentikacija močno orodje za zavarovanje uporabniških računov, ne more rešiti vseh težav. Imeti dva faktorja ne bi pomagalo @AP, ker so hekerji vdrli prek lažnega napada. Nasprotniki bi le našli drug način, kako uporabnike izvabiti v obhod varnostne plasti, je dejal Aaron Higbee, predstavnik organizacije PhishMe.

Prosirijski hekerji so v torek ugrabili račun Twitterja AP in objavili ponarejeno novico, ki trdi, da se je v Beli hiši zgodila eksplozija in da se je predsednik poškodoval. V treh ali štirih minutah, preden so uslužbenci AP ugotovili, kaj se je zgodilo, in povedali, da je zgodba napačna, so vlagatelji zašli v paniko in povzročili, da je povprečje Dow Jones Industrial padlo za 148 točk. Bloomberg News je ocenil, da je dip indeks "izbrisal" 136 milijard dolarjev iz indeksa S&P 500.

Predvidljivo so številni varnostni strokovnjaki takoj kritizirali Twitter, ker ne ponuja dvofaktorske overitve. "Twitter mora resnično hitro pridobiti dvofaktorsko preverjanje pristnosti. Na tem področju so precej zaostanki, " je v elektronskem sporočilu povedal Andrew Storms, direktor varnostnih operacij pri nCircle.

Skupine v primerjavi s posameznimi računi

Dvofaktorska avtentikacija napadalcem otežuje ugrabitev uporabniških računov z uporabo metode brutalne sile ali krajo gesel prek metod socialnega inženiringa. Predvideva tudi, da obstaja samo en uporabnik na račun.

"Dvofaktorna avtentikacija in drugi ukrepi bodo pomagali zmanjšati kraje za posamezne račune. Vendar ne za skupinske račune, " je za SecurityWatch povedal Sean Sullivan, varnostni raziskovalec pri F-Secure.

AP je, tako kot mnoge druge organizacije, ves dan verjetno več zaposlenih objavljal na @AP. Kaj bi se zgodilo kadarkoli kdo poskuša objaviti na Twitterju? Vsak poskus prijave mora osebi, ki ima registrirano napravo, naj bo to pametni telefon ali strojni žeton, vnesti kodo drugega faktorja. Glede na obstoječi mehanizem je to lahko vsak dan, vsakih nekaj dni ali kadar koli dodate novo napravo.

"To je precej pomembna ovira za produktivnost, " je za SecurityWatch povedal Jim Fenton, CSO podjetja OneID.

Recite, da želim objaviti v @SecurityWatch. Moral bi ali poklicati IM ali poklicati kolega, ki je "imel" račun, da bi dobil dvofaktorsko kodo. Ali pa se mi ni bilo treba prijaviti 30 dni, ker je bil moj prenosni računalnik pooblaščena naprava, zdaj pa je 31. dan. In vikend. Predstavljajte si potencialna minska polja socialnega inženiringa.

"Preprosto povedano, dvofaktorska avtentikacija ne bo dovolj za zaščito ljudi, " je dejal Sullivan.

Dvofaktorska overitev ni zdravilo

Dvofaktorska avtentikacija je dobra stvar, močno orodje, vendar ne more narediti vsega, kot je preprečevanje lažnih napadov, je dejal Fenton. Dejansko lahko s skupnimi dvofaktornimi avtentifikacijskimi rešitvami uporabniki zlahka zavedejo pristnost dostopa, ne da bi ga zavedali, je dejal Fenton.

Predstavljajte si, če bi sporočila svojemu šefu: Ne morem se prijaviti v @securitywatch. Pošljite mi kodo?

Dvofaktorna avtentikacija otežuje lažno predstavljanje računa, vendar ne prepreči uspešnosti napada, je dejal Higbee podjetja PhishMe. Na blogu podjetja je PhishMe ponazoril, kako lažno predstavljanje ob dveh faktorjih le zoži napadalno okno.

Najprej uporabnik klikne povezavo v lažnem e-poštnem sporočilu, pristane na strani za prijavo in na lažno spletno mesto vnese pravilno geslo in veljavno dvofaktorsko kodo. Na tej točki se mora napadalec le prijaviti, preden potečejo veljavni podatki za prijavo. Organizacije, ki uporabljajo žetone RSA, lahko kodo regenerirajo na vsakih 30 sekund, toda za spletno mesto za družabne medije je rok trajanja oddaljen nekaj ur ali dni.

"To ne pomeni, da Twitter ne bi smel implementirati bolj robustne plasti pristnosti, postavlja pa se tudi vprašanje, kako daleč bi moral iti?" Je dejal Higbee in dodal, da Twitter prvotno ni bil zasnovan za skupinsko uporabo.

Ponastavitve so večji problem

Izvajanje dvofaktorske overitve na vhodnih vratih ne bo pomenilo počepov, če ima zadnja vrata lahka ključavnica - šibek postopek ponastavitve gesla. Uporaba skupnih skrivnosti, kot je dekliški priimek vaše matere, za ustvarjanje in obnovitev dostopa do računa "je Ahilova peta današnjih avtentikacijskih praks, " je dejal Fenton.

Ko napadalec pozna uporabniško ime, je ponastavitev gesla samo prestrezanje ponastavljene e-pošte. To lahko pomeni vdor v e-poštni račun, kar se lahko zelo dobro zgodi.

Medtem ko imajo vprašanja o namigi za geslo svoje težave, jih Twitter sploh ne ponuja kot del procesa ponastavitve. Vsakdo, ki ga potrebuje, je uporabniško ime. Čeprav obstaja možnost, da "osebne podatke zahtevam, da ponastavim geslo, " so edini potrebni dodatni podatki enostavno dostopni e-poštni naslovi in ​​telefonska številka.

"Twitter računi se bodo še naprej zasukali in Twitter mora storiti več stvari, da zaščiti svoje uporabnike - ne le dvofaktorskih, " je dejal Sullivan.

Dvofaktorna avtentikacija ne bi preprečila kramp ap twitterja