Video: Roblox Finally Replied!! *Cammy's Account Was Hacked Part 2!* Sopo Squad Gaming! (September 2024)
Twitter: s tvåstegsprogram
Fråga Josh Alexander, VD för autentiseringsföretaget Toopher, hur du skulle gå till med att hacka Twitter nu när tvåfaktorautentisering är på plats. Han kommer att berätta för dig att du gör det på samma sätt som du gjorde innan tvåfaktorsautentisering.
I en kort, drollvideo om Twitter: s tvåfaktorsautentisering gratulerar Alexander Twitter för att gå med i ett "säkerhetsstegsstegsprogram" och ta det första steget och erkänna att det finns ett problem. Därefter illustrerar han hur lite den sms-baserade tvåfaktorautentiseringen hjälper. "Din nya lösning lämnar dörren vidöppen, " sade Alexander, "för samma man-i-mitten-attacker som komprometterade rykte från stora nyhetskällor och kändisar."
Processen börjar med att en hacker skickar ett övertygande e-postmeddelande, ett meddelande som ber mig att ändra mitt Twitter-lösenord, med en länk till en falsk Twitter-webbplats. När jag gör det använder hackaren mina fångade inloggningsuppgifter för att få kontakt med den riktiga Twitteren. Twitter skickar mig en verifieringskod och jag anger den och ger den till hackaren. Vid denna punkt är kontot pwned. Se videon - den visar processen mycket tydligt.
Det är ingen överraskning att Toopher erbjuder en annan typ av smartphonebaserad tvåfaktorautentisering. Toopher-lösningen håller reda på dina vanliga platser och vanliga aktiviteter och kan ställas in för att automatiskt godkänna vanliga transaktioner. Istället för att skicka en kod för att slutföra en transaktion, skickar den ett pushmeddelande med information om transaktionen inklusive användarnamn, webbplats och beräknad dator. Jag har inte testat det, men det ser förnuftigt ut.
Undvik övertagande av två faktorer
Säkerhetsrockstjärnan Mikko Hypponnen från F-Secure utgör ett ännu djupare scenario. Om du inte har aktiverat tvåfaktorautentisering, kan en skadefaktor som får åtkomst till ditt konto ställa in det för dig med sin egen telefon.
I ett blogginlägg påpekar Hypponen att om du någonsin skickar tweets via SMS har du redan ett telefonnummer kopplat till ditt konto. Det är lätt att stoppa den föreningen; SMS bara STOPP till Twitter-kortkoden för ditt land. Observera dock att du gör det även stoppar tvåfaktorsautentisering. Att skicka GO slår på det igen.
Med detta i åtanke utgör Hypponen en skrämmande händelseföljd. Först får hackaren åtkomst till ditt konto, kanske via ett spjutfiskmeddelande. Sedan konfigurerar han ditt konto så att tvåfaktors autentiseringskoden kommer till hans telefon genom att skicka GO från sin egen telefon till rätt kortkod och följa några instruktioner. Du är utesluten.
Den här tekniken fungerar inte om du redan har aktiverat tvåfaktorautentisering. "Kanske borde du aktivera ditt kontos 2FA, " föreslog Hypponen, "innan någon annan gör det åt dig." Det är inte helt klart för mig varför angriparen inte först kunde använda SMS-förfalskning för att STOPPA tvåfaktorsautentisering och sedan fortsätta med attacken. Kan jag vara mer paranoid än Mikko?
