Video: Jak zablokovat na dálku jakoukoli Wi-Fi (Listopad 2024)
Twitter je dvoustupňový program
Zeptejte se Josha Alexandra, generálního ředitele autorizační společnosti Toopher, jak byste se chystali hackovat Twitter, když je zavedeno dvoufaktorové ověřování. Řekne vám, že to uděláte přesně stejným způsobem jako před příchodem dvoufaktorové autentizace.
V krátkém, drollovém videu o dvoufaktorové autentizaci Twitteru Alexander gratuluje Twitteru k připojení k „programu zabezpečení dvou kroků“ a k provedení prvního kroku, připouští se problém. Poté ilustruje, jak málo pomáhá dvoufaktorová autentizace založená na SMS. „Vaše nové řešení nechává dveře otevřené dokořán, “ řekl Alexander, „za stejné útoky typu člověk-uprostřed, které narušily pověst hlavních zpravodajských zdrojů a celebrit.“
Proces začíná tím, že hacker pošle přesvědčivý e-mail, zprávu, která mi poradí, jak změnit své heslo Twitter, s odkazem na falešný web na Twitteru. Jakmile to udělám, hacker použije moje zachycené přihlašovací údaje pro spojení se skutečným Twitterem. Twitter mi pošle ověřovací kód a zadám jej, čímž jej předám hackerovi. V tomto okamžiku je účet zastaven. Podívejte se na video - zobrazuje proces velmi jasně.
Není žádným překvapením, že Toopher nabízí jiný druh dvoufaktorové autentizace založené na smartphonu. Řešení Toopher sleduje vaše obvyklá místa a obvyklé činnosti a lze jej nastavit tak, aby automaticky schvalovalo obvyklé transakce. Namísto zaslání kódu k dokončení transakce vám zašle oznámení push s podrobnostmi o transakci včetně uživatelského jména, webu a příslušného výpočtu. Netestoval jsem to, ale vypadá to rozumně.
Vyhněte se převzetí dvou faktorů
Bezpečnostní rocková hvězda Mikko Hypponnen z F-Secure představuje ještě hroznější scénář. Pokud jste nepovolili dvoufaktorové ověřování, mohl by vás za použití vlastního telefonu nastavit ten, kdo získá přístup k vašemu účtu.
V příspěvku na blogu Hypponen upozorňuje, že pokud někdy posíláte tweety prostřednictvím SMS, máte k vašemu účtu přidružené telefonní číslo. Je snadné zastavit toto spojení; jednoduše napište text STOP na krátký kód Twitter pro vaši zemi. Všimněte si však, že tím také zastavíte dvoufaktorové ověřování. Odesláním GO se znovu zapne.
S ohledem na to Hypponen představuje děsivou posloupnost událostí. Nejprve hacker získá přístup k vašemu účtu, snad prostřednictvím zprávy o phishingu. Poté posílá SMS z vlastního telefonu do příslušného krátkého kódu a po několika výzvách nakonfiguruje váš účet tak, aby do jeho telefonu přišel dvoufaktorový ověřovací kód. Jste zamčeni.
Tato technika nebude fungovat, pokud jste již povolili dvoufaktorové ověřování. „Možná byste měli povolit 2FA ve svém účtu, “ navrhl Hypponen, „než to pro vás udělá někdo jiný.“ Není mi úplně jasné, proč útočník nemohl nejprve použít spoofing SMS k zastavení dvoufaktorové autentizace a poté pokračovat v útoku. Mohl bych být více paranoidní než Mikko?
