Видео: Настя и сборник весёлых историй (Ноември 2024)
От земята на " ако само… " Ако Associated Press беше настроил двуфакторна автентификация с акаунта си в Twitter, просирийските хакери нямаше да могат да отвлекат акаунта и да унищожат.
Хубава и подредена идея, но в действителност не. Докато двуфакторната автентификация е мощен инструмент за осигуряване на потребителски акаунти, тя не може да реши всички проблеми. Наличието на два фактора не би помогнало @AP, защото хакерите нахлуха чрез фишинг атака. Противниците просто ще намерят друг начин да измамят потребителите да заобикалят защитния слой, заяви Аарон Хибие, главен технически директор на PhishMe.
Във вторник просирийските хакери отвлекоха акаунта на AP в Twitter и публикуваха фалшив сигнал за новина, в който се твърди, че е извършена експлозия в Белия дом и че президентът е ранен. В три или четири минути, преди служителите на AP да разберат какво се е случило и казаха, че историята е невярна, инвеститорите изпаднаха в паника и предизвикаха средното ниво на Dow Jones Industrial да падне над 148 пункта. Bloomberg News изчисли, че потапянето "изтри" 136 милиарда долара от индекса S&P 500.
Предполагаемо редица експерти по сигурността веднага критикуваха Twitter, че не предлага двуфакторна автентификация. "Twitter наистина трябва да получи двуфакторна автентификация бързо да бъде внедрена. Те са доста зад пазара на това", казва в имейл Андрю Стормс, директор по операциите по сигурността в nCircle.
Групи срещу индивидуални акаунти
Двуфакторното удостоверяване затруднява атакуващите да отвличат акаунти на потребители, използвайки методи на груба сила или кражба на пароли чрез методите на социалния инженеринг. Освен това се предполага, че има само един потребител на акаунт.
"Двуфакторното удостоверяване и други мерки ще помогнат за намаляване на хакове срещу отделни акаунти. Но не и за групови акаунти", заяви Sean Sullivan, изследовател по сигурността на F-Secure, пред SecurityWatch .
AP, подобно на много други организации, вероятно е имал множество служители, които са публикували в @AP през целия ден. Какво би се случило всеки път, когато някой се опита да публикува в Twitter? Всеки опит за влизане изисква от лицето, което има регистрираното устройство, независимо дали става въпрос за смартфон или хардуерен маркер, да предостави код с втори фактор. В зависимост от съществуващия механизъм това може да бъде всеки ден, на всеки няколко дни или всеки път, когато се добавя ново устройство.
„Това се превръща в доста съществено препятствие за производителността“, заяви Джий Фентън, ОГО на OneID, пред SecurityWatch .
Кажете, че искам да публикувам в @SecurityWatch. Ще трябва или аз, или да се обадя на колегата, който „притежаваше“ акаунта, за да получа двуфакторния код. Или не трябваше да влизам в продължение на 30 дни, защото лаптопът ми беше оторизирано устройство, но сега е 31-ият ден. И през уикенда. Представете си потенциалните полета за социално инженерство.
„Най-просто казано, двуфакторното удостоверяване няма да е достатъчно, за да защити хората“, каза Съливан.
Двуфакторна автентификация не е лек за всички
Двуфакторното удостоверяване е добро нещо, мощен инструмент, но не може да направи всичко, като например предотвратяване на фишинг атаки, каза Фентън. В действителност, при обикновени двуфакторни решения за удостоверяване, потребителите могат лесно да бъдат подмамени да удостоверяват достъпа, без да го осъзнават, каза Фентън.
Представете си, ако бих изпратил съобщение на шефа си: Не мога да вляза в @securitywatch. Изпратете ми код?
Двуфакторното удостоверяване затруднява фиширането на акаунт, но не пречи на атаката да бъде успешна, коментира Higbee на PhishMe. Във фирмения блог, PhishMe илюстрира как фишингът, заобикалящ двуфактор, просто стеснява прозореца за атака.
Първо, потребителят кликва върху линк във фишинг имейл, каца се на страница за вход и въвежда правилната парола и валиден двуфакторен код на фалшивия уебсайт. На този етап нападателят просто трябва да влезе, преди да изтекат валидните идентификационни данни за вход. Организациите, които използват маркери на RSA, могат да регенерират код на всеки 30 секунди, но за сайт в социални медии срокът на изтичане може да бъде на няколко часа или дни.
„Това не означава, че Twitter не трябва да прилага по-здрав слой за автентификация, но също така поставя въпроса колко далеч трябва да стигне?“ Каза Хиги и добави, че първоначално Twitter не е предназначен за групова употреба.
Нулирането е по-голям проблем
Прилагането на двуфакторна автентификация на входната врата няма да означава клек, ако задната врата има неясна брава - слаб процес на нулиране на паролата. Използването на споделени тайни, като моминското име на майка ви, за създаване и възстановяване на достъпа до акаунта "е ахилесовата пета на днешните практики за удостоверяване", каза Фентън.
Когато нападателят знае потребителското име, нулирането на паролата е само въпрос на прихващане на имейла за нулиране. Това може да означава пробив в имейл акаунта, което може много добре да се случи.
Въпреки че въпросите със намеци за парола имат свои проблеми, Twitter дори не ги предлага като част от процеса на нулиране. Нуждае се само от всеки потребител. Въпреки че има опция „изискване на лична информация за нулиране на паролата ми“, единствената необходима допълнителна информация е лесно достъпните имейл адреси и телефонен номер.
„Профилите в Twitter ще продължат да бъдат хакнати и Twitter трябва да направи няколко неща, за да защити своите потребители - не само двуфакторни“, каза Съливан.