Будинки Securitywatch Як зламати двофакторну автентифікацію Twitter

Як зламати двофакторну автентифікацію Twitter

Відео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Листопад 2024)

Відео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Листопад 2024)
Anonim

Ми вказали на деякі проблеми з новою двофакторною автентифікацією Twitter. Наприклад, оскільки лише один номер телефону може бути пов’язаний з обліковим записом, двофакторна автентифікація Twitter не працюватиме для таких організацій, як Associated Press, The Onion або The Guardian. Їх зламали; їх все одно можна було знову зламати таким же чином. Однак експерти з безпеки вказують, що проблема є гіршою, ніж набагато гіршою.

Двоетапна програма Twitter

Запитайте Джоша Олександра, генерального директора компанії з аутентифікації Toopher, як би ви не хотіли зламати Twitter, коли вже встановлена ​​двофакторна аутентифікація. Він скаже вам, що ви робите це точно так само, як ви робили до появи двофакторної аутентифікації.

У короткому, рольовому відео про двофакторну аутентифікацію Twitter Олександр вітає Twitter за приєднання до «двоступеневої програми безпеки» та зробив перший крок, визнавши, що існує проблема. Потім він пояснює, як мало допомагає двофакторна автентифікація на основі SMS. "Ваше нове рішення залишає двері широко відкритими, - сказав Олександр, - для тих самих нападів" людиною в середині ", які поставили під загрозу репутацію основних джерел новин та знаменитостей".

Процес починається з того, що хакер надсилає переконливий електронний лист, повідомлення, яке радить мені змінити свій пароль Twitter із посиланням на фальшивий сайт Twitter. Як тільки я це зробив, хакер використовує мої захоплені облікові дані для входу, щоб з'єднатися з реальним Twitter. Twitter надсилає мені код підтвердження, і я ввожу його, тим самим передаючи його хакеру. У цей момент рахунок запитується. Дивіться відео - це дуже чітко показує процес.

Не дивно, що Toopher пропонує інший тип смартфона на основі двофакторної аутентифікації. Рішення Toopher відстежує ваші звичні місця та звичайні дії, і його можна налаштувати на автоматичне затвердження звичайних транзакцій. Замість того, щоб ви надсилали текстовий код для завершення транзакції, він надсилає push-сповіщення з деталями транзакції, включаючи ім’я користувача, веб-сайт та залучені обчислення. Я його не перевіряв, але це виглядає розумно.

Уникайте двофакторного поглинання

Безпечний рок-зірка Мікко Гіппонен з F-Secure створює ще більш грізний сценарій. Якщо ви не ввімкнули двофакторну автентифікацію, зловмисник, який отримує доступ до вашого облікового запису, може встановити його для вас, використовуючи власний телефон.

У публікації в блозі Гіппонен вказує, що якщо ви коли-небудь надсилаєте твіти через SMS, у вас уже є номер телефону, пов’язаний з вашим обліковим записом. Легко зупинити цю асоціацію; просто відправте текст STOP на короткий код Twitter для вашої країни. Зауважте, що це також зупиняє двофакторну аутентифікацію. Надсилання GO знову вмикає його.

Зважаючи на це, Гіппонен ставить жахливу послідовність подій. По-перше, хакер отримує доступ до вашого акаунта, можливо, через повідомлення про фішинг. Потім, надсилаючи повідомлення із власного телефону до відповідного короткого коду та виконуючи кілька підказок, він налаштовує ваш обліковий запис так, щоб двофакторний код автентифікації надходив на його телефон. Ви заблоковані.

Ця методика не працюватиме, якщо ви вже включили двофакторну автентифікацію. "Можливо, ви повинні ввімкнути 2FA свого облікового запису, - запропонував Гіппонен, - перш ніж хтось інший зробить це за вас". Мені не зовсім зрозуміло, чому зловмисник не міг спочатку скористатися підробкою SMS для зупинки двофакторної аутентифікації, а потім продовжити атаку. Чи можу я бути більш параноїчним, ніж Мікко?

Як зламати двофакторну автентифікацію Twitter