Acasă Securitywatch Cum să piratați autentificarea pe doi factori a lui twitter

Cum să piratați autentificarea pe doi factori a lui twitter

Video: Cum iți activezi autentificarea în doi pași pe Facebook și sporești securitatea contului (Noiembrie 2024)

Video: Cum iți activezi autentificarea în doi pași pe Facebook și sporești securitatea contului (Noiembrie 2024)
Anonim

Am subliniat câteva probleme cu noua autentificare a Twitter cu doi factori. De exemplu, întrucât doar un număr de telefon poate fi asociat cu un cont, autentificarea pe doi factori a Twitter nu va funcționa pentru organizații precum Associated Press, The Onion sau The Guardian. Au fost hacked; puteau fi încă hackeri din nou în același mod. Cu toate acestea, experții în securitate indică faptul că problema este mai gravă, mult mai gravă.

Programul Twitter în doi pași

Întrebați-l pe Josh Alexander, CEO-ul companiei de autentificare Toopher, cum ar fi să faci hacking pe Twitter acum, când există autentificarea cu doi factori. El îți va spune că o faci exact așa cum ai făcut-o înainte de apariția autentificării cu doi factori.

Într-un scurt videoclip, în detaliu despre autentificarea Twitter în doi factori, Alexander felicită Twitter pentru că a aderat la un „program în doi pași de securitate” și a făcut primul pas, admitând că există o problemă. El continuă apoi să ilustreze cât de puțin ajută autentificarea pe doi factori bazată pe SMS. "Noua ta soluție lasă ușa larg deschisă", a spus Alexander, pentru aceleași atacuri între om care au compromis reputația marilor surse de știri și celebrități.

Procesul începe cu un hacker care trimite un e-mail convingător, un mesaj care mă sfătuiește să-mi schimb parola de Twitter, cu un link către un site fals Twitter. Odată ce am făcut acest lucru, hackerul folosește acreditările mele de conectare capturate pentru a se conecta cu adevăratul Twitter. Twitter îmi trimite un cod de verificare și îl introduc, dându-l astfel hackerului. În acest moment contul este predat. Urmăriți videoclipul - arată procesul foarte clar.

Nu este o surpriză faptul că Toopher oferă un tip diferit de autentificare bazată pe doi factori bazată pe smartphone. Soluția Toopher urmărește locațiile obișnuite și activitățile obișnuite și poate fi setată pentru a aproba automat tranzacțiile obișnuite. În loc să vă trimită un text pentru a finaliza o tranzacție, acesta trimite o notificare push cu detalii despre tranzacție, inclusiv numele de utilizator, site-ul și calculul implicat. Nu l-am testat, dar pare sensibil.

Evitați preluarea în doi factori

Starul de rock de siguranță Mikko Hypponnen din F-Secure reprezintă un scenariu și mai grav. Dacă nu ați activat autentificarea cu doi factori, un factor de maleficie care obține acces la contul dvs. l-ar putea configura, utilizând propriul telefon.

Într-o postare pe blog, Hypponen subliniază că, dacă trimiteți vreodată tweeturi prin SMS, aveți deja un număr de telefon asociat contului. Este ușor să opriți acea asociere; pur și simplu text STOP la codul scurt Twitter pentru țara dvs. Rețineți, totuși, faptul că acest lucru oprește și autentificarea cu doi factori. Trimiterea GO se activează din nou.

Având în vedere acest lucru, Hypponen prezintă o succesiune înfricoșătoare de evenimente. În primul rând, hackerul are acces la contul dvs., poate printr-un mesaj de phishing. Apoi, trimițând GO de pe propriul telefon la codul scurt corespunzător și urmând câteva indicații, el configurează contul dvs. astfel încât codul de autentificare în doi factori să vină pe telefonul său. Ești închis.

Această tehnică nu va funcționa dacă ați activat deja autentificarea cu doi factori. "Poate că ar trebui să activezi contul 2FA al contului tău", a sugerat Hypponen, "înainte ca altcineva să o facă pentru tine." Nu-mi este în totalitate clar de ce atacatorul nu a putut folosi mai întâi SMS-ul pentru a opri autentificarea cu doi factori și apoi a continua cu atacul. Aș putea fi mai paranoic decât Mikko?

Cum să piratați autentificarea pe doi factori a lui twitter