Video: I HACKED MY FANS TWITTER ACCOUNTS!? || HACKING MY FANS || PART 3 || BeautyChickee (September 2024)
Från landet " om bara… " Om Associated Press hade skapat tvåfaktorsautentisering med sitt Twitter-konto, skulle inte pro-syriska hackare ha kunnat kapa kontot och förgöra förödelse.
Fin och snygg idé, men i verkligheten, nej. Även om tvåfaktorautentisering är ett kraftfullt verktyg för att säkra användarkonton, kan det inte lösa alla problem. Att ha tvåfaktorer skulle inte ha hjälpt @AP eftersom hackarna bröt sig in via en phishing-attack. Motståndare skulle bara hitta ett annat sätt att lura användare att kringgå säkerhetslagret, säger Aaron Higbee, CTO för PhishMe.
På tisdag kapade pro-syriska hackare AP Twitter-kontot och publicerade en falsk nyhetsvarning som hävdade en explosion i Vita huset och att presidenten hade skadats. På de tre eller fyra minuterna innan AP-medarbetare fick reda på vad som hände och sade att historien var falsk, investerare fick panik och fick Dow Jones Industrial-genomsnittet att tumla över 148 poäng. Bloomberg News uppskattade doppet "torkade" 136 miljarder dollar från S&P 500-indexet.
Förutsägbart kritiserade ett antal säkerhetsexperter omedelbart Twitter för att inte erbjuda tvåfaktorautentisering. "Twitter behöver verkligen få tvåfaktorsautentisering snabbt ut. De är långt bakom marknaden på detta, " sade Andrew Storms, chef för säkerhetsverksamheten på nCircle, i ett e-postmeddelande.
Grupper kontra individuella konton
Tvåfaktorsautentisering gör det svårare för angripare att kapa användarkonton med hjälp av brute-force-metoder eller stjäla lösenord via sociala teknikmetoder. Den antar också att det bara finns en användare per konto.
"Tvåfaktorsautentisering och andra åtgärder kommer att bidra till att minska hacks mot enskilda konton. Men inte gruppkonton, " sade Sean Sullivan, en säkerhetsforskare på F-Secure, till SecurityWatch .
AP, precis som många andra organisationer, hade antagligen flera anställda som postade till @AP under hela dagen. Vad skulle hända när någon försöker posta på Twitter? Varje inloggningsförsök kräver att den som har den registrerade enheten, oavsett om det är en smartphone eller en hårdvarutoken, ska tillhandahålla den andra faktorkoden. Beroende på vilken mekanism som finns kan detta vara varje dag, några dagar eller när en ny enhet läggs till.
"Det blir en ganska betydande vägspärr för produktivitet, " säger Jim Fenton, CSO för OneID, till SecurityWatch .
Säg att jag vill posta på @SecurityWatch. Jag måste antingen IM eller ringa min kollega som "ägde" kontot för att få tvåfaktorkoden. Eller så behövde jag inte logga in på 30 dagar eftersom min bärbara dator var en auktoriserad enhet, men nu är det den 31: e dagen. Och helgen. Föreställ dig de potentiella gruvfält för social teknik.
"Enkelt uttryckt kommer tvåfaktorsautentisering inte att räcka för att skydda människor, " sade Sullivan.
Tvåfaktorsautentisering inte ett botemedel
Tvåfaktorsautentisering är bra, ett kraftfullt verktyg, men det kan inte göra allt, som att förhindra nätfiskeattacker, säger Fenton. Faktum är att under vanliga tvåfaktors-autentiseringslösningar kan användare lätt bli lurade att autentisera åtkomst utan att inse det, sade Fenton.
Föreställ dig om jag hade smsat min chef: Kan inte logga in på @securitywatch. Skicka mig en kod?
Tvåfaktorsautentisering gör det svårare att phish ett konto, men förhindrar inte att attacken lyckas, säger PhishMes Higbee. På företagets blogg illustrerade PhishMe hur phishing genom att kringgå tvåfaktorer bara förminskar attackfönstret.
Först klickar användaren på en länk i ett phishing-e-postmeddelande, landar på en inloggningssida och anger rätt lösenord och giltig tvåfaktorkod på den falska webbplatsen. Vid denna tidpunkt måste angriparen bara logga in innan de giltiga inloggningsuppgifterna löper ut. Organisationer som använder RSA-tokens kan regenerera en kod var 30: e sekund, men för en social media-webbplats kan utgångsperioden vara flera timmar eller dagar borta.
"Det här betyder inte att Twitter inte bör implementera ett mer robust skikt av autentisering, men det väcker också frågan om hur långt det ska gå?" Higbee sa och tillade att Twitter ursprungligen inte var designad för gruppbruk.
Återställningar är ett större problem
Att genomföra tvåfaktorsautentisering vid ytterdörren innebär inte att du sitter på hubben om bakdörren har ett lunt lås - en svag lösenordsåterställningsprocess. Användningen av delade hemligheter, till exempel din mammas jungfrunamn, för att skapa och återställa åtkomst till kontot "är Achilles Heel i dagens autentiseringspraxis, " sa Fenton.
När angriparen känner till användarnamnet är återställningar av lösenord bara en fråga om att fånga återställningsmeddelandet. Det kan innebära att man bryter in e-postkontot, vilket mycket väl kan hända.
Medan frågor om lösenordstips har sina egna problem, erbjuder Twitter dem inte ens som en del av dess återställningsprocess. Allt man behöver är användarnamnet. Det finns ett alternativ att "kräva personlig information för att återställa mitt lösenord", men den enda extra information som krävs är de lättillgängliga e-postadresserna och telefonnumret.
"Twitter-konton kommer att fortsätta att bli hackade, och Twitter måste göra flera saker för att skydda sina användare - inte bara tvåfaktorer, " sade Sullivan.
