У дома Securitywatch Как да хакнете двуфакторната автентификация на Twitter

Как да хакнете двуфакторната автентификация на Twitter

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноември 2024)

Видео: Маша и Медведь (Masha and The Bear) - Подкидыш (23 Серия) (Ноември 2024)
Anonim

Посочихме някои проблеми с новото двуфакторно удостоверяване на Twitter. Например, тъй като само един телефонен номер може да бъде свързан с акаунт, двуфакторната автентификация на Twitter няма да работи за организации като Associated Press, The Onion или The Guardian. Те бяха хакнати; те пак биха могли да бъдат хакнати по същия начин. Експертите по сигурността обаче посочват, че проблемът е по-лош от това, много по-лош.

Програмата в две стъпки на Twitter

Попитайте Джош Александър, изпълнителен директор на аутентификационната компания Toopher, как ще предприемете хакерство в Twitter сега, когато е налице двуфакторно удостоверяване. Той ще ви каже, че го правите точно по същия начин, както сте направили преди появата на двуфакторно удостоверяване.

Накратко, засичащо видео за двуфакторното удостоверяване на Twitter, Александър поздравява Twitter за присъединяването към „програма за двуетапна сигурност“ и предприема първата стъпка, признавайки, че съществува проблем. След това продължава да илюстрира колко малко помага двуфакторната автентификация, базирана на SMS. "Вашето ново решение оставя вратата широко отворена", каза Александър, "за същите атаки на човек в средата, които компрометираха репутацията на големи новинарски източници и известни личности."

Процесът започва с хакер, който изпраща убедителен имейл, съобщение, което ме съветва да променя паролата си в Twitter, с линк към фалшив сайт в Twitter. След като го направя, хакерът използва заснетите ми идентификационни данни за вход, за да се свърже с истинския Twitter. Twitter ми изпраща код за потвърждение и аз го въвеждам, като по този начин го давам на хакера. В този момент акаунтът е pwned. Гледайте видеоклипа - той показва процеса много ясно.

Не е изненадващо, че Toopher предлага различен вид смартфонова аутентификация на базата на смартфони. Решението Toopher следи обичайните ви местоположения и обичайните дейности и може да бъде настроено автоматично да одобрява обичайните транзакции. Вместо да ви изпрати текстови код за завършване на транзакция, той изпраща push известие с подробности за транзакцията, включително потребителското име, сайта и съответните изчисления. Не съм го тествал, но изглежда разумно.

Избягвайте двуфакторно поглъщане

Защитният рок-звезда Мико Хипонен от F-Secure създава още по-страшен сценарий. Ако не сте активирали двуфакторна автентификация, злоупотребител, който получи достъп до вашия акаунт, може да го настрои за вас, използвайки собствения си телефон.

В публикацията в блога Hypponen посочва, че ако някога изпращате туитове чрез SMS, вече имате телефонен номер, свързан с вашия акаунт. Лесно е да спреш тази асоциация; просто изпратете текст STOP към краткия код на Twitter за вашата страна. Имайте предвид обаче, че това също спира двуфакторната автентификация. Изпращането на GO го включва отново.

Имайки това предвид, Hypponen поставя страховита последователност от събития. Първо, хакерът получава достъп до вашия акаунт, може би чрез съобщение за фишинг на копие. След това, като изпрати съобщение на GO от собствения си телефон до съответния кратък код и следвайки няколко подсказки, той конфигурира акаунта ви, така че двуфакторният код за удостоверяване идва в телефона му. Вие сте заключени.

Тази техника няма да работи, ако вече сте активирали двуфакторна автентификация. "Може би трябва да активирате 2FA на вашия акаунт", предложи Хиппонен, "преди някой друг да го направи за вас." Не ми е напълно ясно защо нападателят първо не е могъл да използва спуфинг с SMS, за да спре Двуфакторната автентификация и след това да продължи с атаката. Мога ли да бъда по-параноичен от Мико?

Как да хакнете двуфакторната автентификация на Twitter