Video: Баны в twitter, как избежать бан в твиттере? (Octombrie 2024)
Din țara „ doar dacă… ” Dacă Associated Press ar fi creat autentificarea cu doi factori cu contul său de Twitter, atunci hackerii pro-sirieni nu ar fi putut să deturneze contul și să facă ravagii.
Idee frumoasă și ordonată, dar în realitate, nu. Deși autentificarea cu doi factori este un instrument puternic pentru securizarea conturilor de utilizator, nu poate rezolva toate problemele. A avea doi factori nu ar fi ajutat @AP, deoarece hackerii au intervenit printr-un atac de phishing. Adversarii ar găsi doar o altă modalitate de a-i păcăli pe utilizatori să ocolească stratul de securitate, a spus Aaron Higbee, CTO al PhishMe.
Marți, hackerii pro-sirieni au deturnat contul de Twitter al AP și au postat o alertă falsă de știri care pretinde o explozie la Casa Albă și că președintele fusese rănit. În cele trei sau patru minute anterioare angajaților AP și-au dat seama ce s-a întâmplat și au spus că povestea este falsă, investitorii au intrat în panică și au determinat media Dow Jones Industrial să se ridice peste 148 de puncte. Bloomberg News a estimat că scufundarea a „șters” 136 miliarde de dolari din indicele S&P 500.
În mod previzibil, o serie de experți în securitate au criticat imediat Twitter pentru că nu oferă autentificare în doi factori. "Twitter trebuie într-adevăr să obțină rapid autentificarea cu doi factori. Acestea sunt mult în spatele pieței", a declarat Andrew Storms, directorul operațiunilor de securitate la nCircle, într-un e-mail.
Grupuri vs. conturi individuale
Autentificarea cu doi factori îngreunează atacatorii să deturneze conturile de utilizator folosind metode de forță brută sau să fure parole prin metode de inginerie socială. De asemenea, presupune că există un singur utilizator pe fiecare cont.
"Autentificarea cu doi factori și alte măsuri vor ajuta la reducerea crizelor împotriva conturilor individuale. Dar nu și a conturilor de grup", a declarat pentru SecurityWatch Sean Sullivan, un cercetător de securitate cu F-Secure.
AP, la fel ca multe alte organizații, a avut probabil mai mulți angajați care au postat pe @AP pe tot parcursul zilei. Ce s-ar întâmpla oricând cineva încearcă să posteze pe Twitter? Fiecare încercare de conectare necesită persoana care are dispozitivul înregistrat, indiferent dacă este un smartphone sau un jeton hardware, să furnizeze codul al doilea factor. În funcție de mecanismul existent, acest lucru ar putea fi în fiecare zi, la fiecare câteva zile sau ori de câte ori este adăugat un dispozitiv nou.
"Devine un bloc de drum destul de semnificativ pentru productivitate", a declarat Jim Security , CSO de la OneID, pentru SecurityWatch .
Spune că vreau să postez pe @SecurityWatch. Ar trebui să fie IM sau să-l sun pe colegul meu care a „deținut” contul pentru a obține codul cu doi factori. Sau nu a trebuit să mă loghez timp de 30 de zile, deoarece laptopul meu era un dispozitiv autorizat, dar acum este a 31-a zi. Și în weekend. Imaginează-ți potențialele domenii miniere de inginerie socială.
"Mai simplu spus, autentificarea cu doi factori nu va fi suficientă pentru a proteja oamenii", a spus Sullivan.
Autentificarea cu doi factori Nu este un Cure-All
Autentificarea în doi factori este un lucru bun, un instrument puternic, dar nu poate face totul, cum ar fi prevenirea atacurilor de phishing, a spus Fenton. De fapt, sub soluții comune de autentificare cu doi factori, utilizatorii pot fi ușor păcăliți să autentifice accesul fără să-și dea seama, a spus Fenton.
Imaginează-ți dacă mi-aș fi trimis un mesaj șefului meu: nu mă pot autentifica la @securitywatch. Trimite-mi un cod?
Autentificarea în doi factori face mai dificilă phish-ul unui cont, dar nu împiedică succesul atacului, a spus Higbee de la PhishMe. Pe blogul companiei, PhishMe a ilustrat cum phishingul ocolind doi factori doar îngustează fereastra de atac.
În primul rând, utilizatorul face clic pe un link dintr-un e-mail de tip phishing, aterizează pe o pagină de conectare și introduce parola corespunzătoare și codul valid cu doi factori pe site-ul fals. În acest moment, atacatorul trebuie doar să se autentifice înainte ca datele de autentificare valabile de autentificare să expire. Organizațiile care folosesc jetoane RSA pot regenera un cod la fiecare 30 de secunde, dar pentru un site de socializare, perioada de expirare poate fi de câteva ore sau zile.
"Asta nu înseamnă că Twitter nu ar trebui să pună în aplicare un strat mai puternic de autentificare, dar ne pune și întrebarea cât de departe ar trebui să ajungă?" Higbee a spus, adăugând că Twitter nu a fost proiectat inițial pentru utilizarea în grup.
Resetările sunt o problemă mai mare
Implementarea autentificării în doi factori la ușa din față nu va însemna ghemuit dacă ușa din spate are o încuietoare fragilă - un proces slab de resetare a parolei. Utilizarea secretelor partajate, cum ar fi numele de fată al mamei tale, pentru a crea și recupera accesul la cont "este călcâiul lui Ahile din practicile de autentificare de astăzi", a spus Fenton.
Atunci când atacatorul cunoaște numele de utilizator, resetările de parolă sunt doar o problemă de a intercepta mesajele de resetare. Aceasta poate însemna intrarea în contul de e-mail, ceea ce se poate întâmpla foarte bine.
Deși întrebările de sugestie de parolă au propriile probleme, Twitter nu le oferă nici măcar ca parte a procesului de resetare. Numele de care are nevoie este numele de utilizator. Deși există o opțiune de a „solicita informații personale pentru a-mi reseta parola”, singurele informații suplimentare necesare sunt adresele de e-mail și numărul de telefon ușor de obținut.
"Conturile Twitter vor continua să fie hacked, iar Twitter trebuie să facă mai multe lucruri pentru a-și proteja utilizatorii - nu doar cu doi factori", a spus Sullivan.
