Vídeo: Satisfying Video l Kinetic Sand Nail Polish Foot Cutting ASMR #7 Rainbow ToyTocToc (De novembre 2024)
Des del país de " només si… " Si Associated Press hagués creat una autenticació de dos factors amb el seu compte de Twitter, els hackers pro-sirians no haurien pogut segrestar el compte i causar estralls.
Idea agradable i ordenada, però en realitat, no. Tot i que l’autenticació de dos factors és una potent eina per protegir comptes d’usuari, no pot solucionar tots els problemes. Tenir dos factors no hauria ajudat a @AP perquè els pirates informàtics van irrompre a través d'un atac de pesca. Els adversaris només trobarien una altra manera d’atraure els usuaris per evitar la capa de seguretat, va dir Aaron Higbee, CTO de PhishMe.
Dimarts, els hackers pro-sirians van segrestar el compte de Twitter de l’AP i van publicar una alerta de notícies falses que reclamaven una explosió a la Casa Blanca i que el president havia estat ferit. En els tres o quatre minuts anteriors els empleats de AP van esbrinar què va passar i van dir que la història era falsa, els inversors van entrar en pànic i van provocar que la mitjana de Dow Jones Industrial caigués sobre 148 punts. Bloomberg News va estimar que el dipòsit es va esborrar "136.000 milions de dòlars" de l'índex S&P 500.
Previsiblement, diversos experts en seguretat van criticar immediatament Twitter per no oferir autenticació de dos factors. "Twitter necessita realment obtenir una autenticació de dos factors ràpidament. Hi ha molt per darrere del mercat", va dir Andrew Storms, director d'operacions de seguretat de nCircle, en un correu electrònic.
Grups i comptes individuals
L’autenticació de dos factors fa més difícil que els atacants segrestin comptes d’usuaris mitjançant mètodes de força bruta o roben contrasenyes mitjançant mètodes d’enginyeria social. També suposa que només hi ha un usuari per compte.
"L'autenticació de dos factors i altres mesures ajudaran a reduir els antecedents dels comptes individuals. Però no als comptes de grup", va dir a SecurityWatch Sean Sullivan, investigador de seguretat de F-Secure.
AP, igual que moltes altres organitzacions, probablement va tenir diversos empleats publicats a @AP durant tot el dia. Què passaria quan algú intenti publicar-ho a Twitter? Cada intent d’inici de sessió requereix que la persona que tingui el dispositiu registrat, ja sigui un telèfon intel·ligent o un testimoni de maquinari, proporcioni el codi de segon factor. Depenent del mecanisme existent, això pot ser cada dia, cada pocs dies, o sempre que s’afegeix un dispositiu nou.
"Es converteix en un bloqueig de ruta força significatiu per a la productivitat", va dir Jim Fenton, OSC de OneID, a SecurityWatch .
Dir que vull publicar a @SecurityWatch. Hauria de fer una trucada instantània o trucar al meu col·lega que era "propietari" del compte per obtenir el codi de dos factors. O no vaig haver d’iniciar sessió durant 30 dies perquè el meu ordinador portàtil era un dispositiu autoritzat, però ara és el 31è dia. I el cap de setmana. Imagineu-vos els possibles camps de mines d’enginyeria social.
"En poques paraules, l'autenticació de dos factors no serà suficient per protegir la gent", va dir Sullivan.
Autenticació de dos factors no és cura-tot
Fenton, segons Fenton, va dir l'autenticació de dos factors, una eina potent, però no pot fer-ho tot, com prevenir atacs de phishing. De fet, sota solucions comunes d'autenticació de dos factors, es pot enganyar fàcilment als usuaris per autenticar l'accés sense adonar-se'n, va dir Fenton.
Imagineu-vos si hagués enviat un missatge de text al meu cap: no puc iniciar la sessió a @securitywatch. Envia'm un codi?
L'autenticació de dos factors fa que sigui més difícil phish un compte, però no impedeix que l'atac tingui èxit, va dir Higbee de PhishMe. Al blog de la companyia, PhishMe va il·lustrar com el phishing, superant dos factors, només restringeix la finestra de l'atac.
Primer, l’usuari fa clic en un enllaç d’un correu electrònic de phishing, surt a una pàgina d’inici de sessió i introdueix la contrasenya adequada i el codi de dos factors vàlid al lloc web fals. En aquest moment, l’atacant només ha d’iniciar sessió abans que caduqui les credencials d’inici de sessió vàlides. Les organitzacions que utilitzin fitxes RSA poden regenerar un codi cada 30 segons, però, per a un lloc de xarxes socials, el termini de caducitat pot estar a diverses hores o dies.
"Això no vol dir que Twitter no hauria d'implementar una capa d'autenticació més robusta, sinó que també planteja la qüestió de fins a on ha d'arribar?" Higbee va dir, afegint que Twitter no va ser dissenyat originalment per a ús del grup.
Els reset són un problema més gran
La implementació de l’autenticació de dos factors a la porta principal no suposarà ocupar-se si la porta del darrere té un pany fluix: un procés de restabliment de contrasenya dèbil. L’ús de secrets compartits, com el nom d’amiga de la teva mare, per crear i recuperar l’accés al compte "és el taló d’Aquil·les de les pràctiques d’autenticació d’avui", va dir Fenton.
Quan l’atacant coneix el nom d’usuari, els restabliments de contrasenyes són només una qüestió d’interceptar el restabliment del correu electrònic. Això pot suposar entrar al compte de correu electrònic, cosa que pot passar molt bé.
Si bé les preguntes de suggeriment de contrasenya tenen problemes propis, Twitter ni tan sols les ofereix com a part del procés de restabliment. Tot el que necessita és el nom d’usuari. Si bé hi ha l'opció de "requerir informació personal per restablir la meva contrasenya", l'única informació addicional necessària és les adreces de correu electrònic i el número de telèfon que es poden obtenir fàcilment.
"Els comptes de Twitter es continuaran piratejant i Twitter ha de fer diverses coses per protegir els seus usuaris, no només dos factors", va dir Sullivan.