Двофакторна автентифікація не завадила б хакерській програмі

З країни " якби … " Якби Associated Press встановив двофакторну автентифікацію зі своїм обліковим записом Twitter, тоді просирійські хакери не змогли б викрасти обліковий запис і зламати хаос.

Гарна і охайна ідея, але насправді ні. Хоча двофакторна автентифікація є потужним інструментом захисту облікових записів користувачів, вона не може вирішити всі проблеми. Наявність двофакторного не допомогло б @AP, оскільки хакери прорвалися через фішинг-атаку. Противники просто знайдуть інший спосіб, як натякнути користувачів на обхід шару безпеки, - сказав Аарон Хігбі, генеральний директор PhishMe.

У вівторок просирійські хакери захопили акаунт AP Twitter і опублікували фальшиве повідомлення про те, що в Білому домі вибух і що президент отримав поранення. За три-чотири хвилини до того, як співробітники AP зрозуміли, що сталося, і сказали, що історія помилкова, інвестори панікували і спричинили, що середній показник Dow Jones Industrial впав на 148 пунктів. Bloomberg News підрахував, що "індекс" S&P 500 "знищив" 136 мільярдів доларів.

Передбачувано, що низка експертів із безпеки негайно розкритикувала Twitter за те, що він не пропонує двофакторну автентифікацію. "Twitter дійсно потребує швидкого розгортання двофакторної аутентифікації. Вони значно відстають від ринку", - заявив в електронному листі Ендрю Стормс, директор із операцій із безпеки в nCircle.

Групи проти індивідуальних акаунтів

Двофакторна автентифікація ускладнює зловмисникам викрадення облікових записів користувачів методами грубої сили або крадіжкою паролів за допомогою методів соціальної інженерії. Також передбачається, що на один обліковий запис є лише один користувач.

"Двофакторна автентифікація та інші заходи допоможуть зменшити хаки проти окремих облікових записів. Але не групові облікові записи", - заявив SecurityWatch Шон Салліван, дослідник безпеки F-Secure.

AP, як і багато інших організацій, напевно, протягом дня працювали в декількох співробітниках, які публікували @AP. Що станеться щоразу, коли хтось спробує опублікувати у Twitter? Кожна спроба входу вимагає, щоб особа, яка має зареєстрований пристрій, будь то смартфон або апаратний маркер, надати код другого фактора. Залежно від механізму, який існує, це може бути щодня, кожні кілька днів або щоразу, коли додається новий пристрій.

"Це стає досить значним перешкодою для підвищення продуктивності", - сказав Джим Фентон, ОГС OneID.

Скажіть, я хочу опублікувати в @SecurityWatch. Мені доведеться або чат, або зателефонувати своєму колезі, який "володів" обліковим записом, щоб отримати двофакторний код. Або мені не довелося входити протягом 30 днів, оскільки мій ноутбук був авторизованим пристроєм, але зараз це 31 день. І вихідні. Уявіть потенційні мінні поля соціального інжинірингу.

"Простіше кажучи, двофакторної аутентифікації не буде достатньо для захисту людей", - сказав Салліван.

Двофакторна автентифікація - це не все

Двофакторна аутентифікація - це хороша річ, потужний інструмент, але вона не може зробити все, наприклад запобігти фішинг-атакам, сказав Фентон. Насправді, за допомогою звичайних двофакторних аутентифікаційних рішень, користувачі можуть легко вводити аутентифікацію доступу, не усвідомлюючи цього, сказав Фентон.

Уявіть собі, якби я написав повідомлення своєму начальнику: Не можу увійти до @securitywatch. Надіслати мені код?

Двофакторна автентифікація ускладнює фішинг облікового запису, але не запобігає успіху атаки, заявив Хіббі PhishMe. У блозі компанії PhishMe проілюстрував, як фішинг, минаючи двофактор, просто звужує вікно атаки.

По-перше, користувач натискає на посилання у фішинг-електронному листі, висаджується на сторінці входу та вводить належний пароль та дійсний двофакторний код на підробленому веб-сайті. На даний момент зловмисник повинен просто увійти до закінчення терміну дії дійсних даних для входу. Організації, що використовують маркери RSA, можуть відновлювати код кожні 30 секунд, але для веб-сайтів у соціальних мережах термін дії може тривати кілька годин або днів.

"Це не означає, що Twitter не повинен реалізовувати більш надійний рівень аутентифікації, але також виникає питання про те, наскільки далеко він повинен пройти?" - сказала Хігбі, додавши, що Twitter спочатку не був розроблений для групового використання.

Скидання є більшою проблемою

Реалізація двофакторної аутентифікації у вхідних дверях не означатиме присідання, якщо на задній двері є химерний замок - слабкий процес скидання пароля. Використання загальних секретів, таких як дівоче прізвище вашої матері, для створення та відновлення доступу до облікового запису "- це Ахіллесова п'ята сучасних методів аутентифікації", - сказав Фентон.

Коли зловмисник знає ім'я користувача, скидання пароля - це лише питання перехоплення електронної пошти для скидання. Це може означати вторгнення в обліковий запис електронної пошти, що може дуже добре трапитися.

Хоча питання щодо підказки щодо пароля мають свої проблеми, Twitter навіть не пропонує їх у рамках процесу скидання. Все, кому потрібно - це ім’я користувача. Хоча є можливість "вимагати особистої інформації для скидання мого пароля", єдиною необхідною додатковою інформацією є легкодоступні електронні адреси та номер телефону.

"Облікові записи Twitter продовжують зламатись, і Twitter повинен зробити кілька речей, щоб захистити своїх користувачів - не лише двофакторний", - сказав Салліван.