Відео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Вересень 2024)
Двоетапна програма Twitter
Запитайте Джоша Олександра, генерального директора компанії з аутентифікації Toopher, як би ви не хотіли зламати Twitter, коли вже встановлена двофакторна аутентифікація. Він скаже вам, що ви робите це точно так само, як ви робили до появи двофакторної аутентифікації.
У короткому, рольовому відео про двофакторну аутентифікацію Twitter Олександр вітає Twitter за приєднання до «двоступеневої програми безпеки» та зробив перший крок, визнавши, що існує проблема. Потім він пояснює, як мало допомагає двофакторна автентифікація на основі SMS. "Ваше нове рішення залишає двері широко відкритими, - сказав Олександр, - для тих самих нападів" людиною в середині ", які поставили під загрозу репутацію основних джерел новин та знаменитостей".
Процес починається з того, що хакер надсилає переконливий електронний лист, повідомлення, яке радить мені змінити свій пароль Twitter із посиланням на фальшивий сайт Twitter. Як тільки я це зробив, хакер використовує мої захоплені облікові дані для входу, щоб з'єднатися з реальним Twitter. Twitter надсилає мені код підтвердження, і я ввожу його, тим самим передаючи його хакеру. У цей момент рахунок запитується. Дивіться відео - це дуже чітко показує процес.
Не дивно, що Toopher пропонує інший тип смартфона на основі двофакторної аутентифікації. Рішення Toopher відстежує ваші звичні місця та звичайні дії, і його можна налаштувати на автоматичне затвердження звичайних транзакцій. Замість того, щоб ви надсилали текстовий код для завершення транзакції, він надсилає push-сповіщення з деталями транзакції, включаючи ім’я користувача, веб-сайт та залучені обчислення. Я його не перевіряв, але це виглядає розумно.
Уникайте двофакторного поглинання
Безпечний рок-зірка Мікко Гіппонен з F-Secure створює ще більш грізний сценарій. Якщо ви не ввімкнули двофакторну автентифікацію, зловмисник, який отримує доступ до вашого облікового запису, може встановити його для вас, використовуючи власний телефон.
У публікації в блозі Гіппонен вказує, що якщо ви коли-небудь надсилаєте твіти через SMS, у вас уже є номер телефону, пов’язаний з вашим обліковим записом. Легко зупинити цю асоціацію; просто відправте текст STOP на короткий код Twitter для вашої країни. Зауважте, що це також зупиняє двофакторну аутентифікацію. Надсилання GO знову вмикає його.
Зважаючи на це, Гіппонен ставить жахливу послідовність подій. По-перше, хакер отримує доступ до вашого акаунта, можливо, через повідомлення про фішинг. Потім, надсилаючи повідомлення із власного телефону до відповідного короткого коду та виконуючи кілька підказок, він налаштовує ваш обліковий запис так, щоб двофакторний код автентифікації надходив на його телефон. Ви заблоковані.
Ця методика не працюватиме, якщо ви вже включили двофакторну автентифікацію. "Можливо, ви повинні ввімкнути 2FA свого облікового запису, - запропонував Гіппонен, - перш ніж хтось інший зробить це за вас". Мені не зовсім зрозуміло, чому зловмисник не міг спочатку скористатися підробкою SMS для зупинки двофакторної аутентифікації, а потім продовжити атаку. Чи можу я бути більш параноїчним, ніж Мікко?
