Videó: Parliament Panel Grills Twitter Over Comic Kunal Kamra's Tweets: Sources (November 2024)
A Twitter kétlépcsős programja
Kérdezd meg Josh Alexander-t, a Toopher hitelesítő cég vezérigazgatóját, hogy miként hajthatná végre a Twitter csapkodását, amikor a két tényezővel rendelkező hitelesítés megtörtént. Azt fogja mondani, hogy pontosan ugyanúgy csinálod, mint a két tényezővel történő hitelesítés előtt.
Rövid, tekercses videóban a Twitter két tényezőjének hitelesítéséről Alexander gratulál Twitternek azért, hogy csatlakozott egy "biztonsági kétlépcsős programhoz", és megtette az első lépést, amelyben beismerte, hogy létezik egy probléma. Ezután bemutatja, hogy az SMS-alapú kétfaktoros hitelesítés milyen kevés segítséget nyújt. "Az Ön új megoldása nyitva hagyja az ajtót - mondta Alexander" - ugyanazoknak a középtávú támadásoknak az esetére, amelyek veszélybe sodorták a főbb hírforrások és a hírességek hírnevét."
A folyamat azzal kezdődik, hogy a hacker meggyőző e-mailt küld, egy üzenettel, amely arra szólít fel, hogy cserélje ki Twitter jelszavam, egy hamis Twitter oldalra mutató hivatkozással. Ha egyszer megcsinálom, a hacker a rögzített bejelentkezési hitelesítő adataimat használja az valódi Twitter-hez való kapcsolódáshoz. A Twitter küld egy ellenőrző kódot, és beírom, ezáltal megadva a hackereknek. Ezen a ponton a számla megszűnik. Nézze meg a videót - nagyon világosan mutatja a folyamatot.
Nem meglepő, hogy Toopher másfajta okostelefon-alapú kétfaktoros hitelesítést kínál. A Toopher megoldás nyomon követi a szokásos helyszíneket és a szokásos tevékenységeket, és beállítható úgy, hogy automatikusan jóváhagyja a szokásos tranzakciókat. Ahelyett, hogy egy szöveges üzenetet küld Önnek egy tranzakció befejezéséhez, küld egy push értesítést a tranzakció részleteivel, ideértve a felhasználónevet, a webhelyet és az érintett számítógépet. Nem teszteltem, de ésszerűnek tűnik.
Kerülje a két tényező átvételét
Mikko Hypponnen, az F-Secure biztonsági sztárja még szörnyűbb forgatókönyvet készít. Ha nem engedélyezte a két tényezős hitelesítést, akkor a fiókjához hozzáférő rosszindulatú személy saját telefonjának segítségével beállíthatja azt az Ön számára.
Egy blogbejegyzésben Hypponen rámutat arra, hogy ha tweeteket küld SMS-ben, akkor már van telefonszáma társítva a fiókjához. Könnyű megállítani ezt a társulást; egyszerűen írja be a STOP-ot az országod Twitter-kódjába. Vegye figyelembe azonban, hogy ez a kétfaktoros hitelesítést is megállítja. A GO küldése újra bekapcsolja.
Ezt szem előtt tartva, Hypponen ijesztő eseménysorozatot állít fel. Először: a hacker hozzáférést kap fiókjához, valószínűleg egy lándzsás adathalász üzenettel. Ezután a GO telefonjáról szöveges üzenet küldésével a megfelelő rövid kódra, és néhány felszólítást követve beállítja a fiókját úgy, hogy a két tényezős hitelesítési kód megérkezzen a telefonjára. Ön zárva van.
Ez a technika nem fog működni, ha már engedélyezte a két tényezős hitelesítést. "Lehet, hogy engedélyeznie kell fiókja 2FA-ját - javasolta Hypponen -, mielőtt valaki más megteszi érted." Számomra nem teljesen világos, hogy a támadó miért nem tudta először használni az SMS hamisítást a két tényezős hitelesítés leállításához, majd folytatni a támadást. Lehetne-e paranoidabb, mint Mikko?
