Video: How To Hack Twitter's New Two Factor Authentication (Nobyembre 2024)
Dalawang-Hakbang na Programa ng Twitter
Tanungin mo si Josh Alexander, CEO ng kumpanya ng pagpapatunay na Toopher, kung paano mo pupunta ang pag-hack sa Twitter na ang dalawang-factor na pagpapatotoo ay nasa lugar. Sasabihin niya sa iyo na ginagawa mo ito nang eksakto sa parehong paraan na ginawa mo bago ang pagdating ng pagpapatunay ng dalawang-kadahilanan.
Sa isang maikling, droll video tungkol sa two-factor na pagpapatotoo ng Twitter, binati ni Alexander ang Twitter sa pagsali sa isang "security two-step na programa" at gumawa ng unang hakbang, sa pag-amin ng isang problema na mayroon. Pagkatapos ay nagpapatuloy siya upang ilarawan kung gaano kabuluhan ang nakatutulong sa dalawang-factor na pagpapatunay na batay sa SMS. "Ang iyong bagong solusyon ay nag-iiwan nang bukas ang pintuan, " sabi ni Alexander, "para sa parehong pag-atake ng tao-sa-gitna na kompromiso ang mga reputasyon ng mga pangunahing mapagkukunan ng balita at mga kilalang tao."
Ang proseso ay nagsisimula sa isang hacker na nagpapadala ng isang nakakumbinsi na email, isang mensahe na nagpapayo sa akin na baguhin ang aking password sa Twitter, na may isang link sa isang pekeng Twitter site. Kapag ginawa ko, ang hacker ay gumagamit ng aking nakunan na mga kredensyal sa pag-login upang kumonekta sa totoong Twitter. Nagpapadala sa akin ang Twitter ng isang code sa pag-verify at ipinasok ko ito, sa gayon ibinibigay ito sa hacker. Sa puntong ito ang account ay pwned. Panoorin ang video - ipinapakita nito ang proseso nang malinaw.
Ito ay hindi nakakagulat na nag-aalok ang Toopher ng ibang uri ng pagpapatunay na may dalawang-factor na batay sa smartphone. Sinusubaybayan ng solusyon ng Toopher ang iyong mga karaniwang lokasyon at karaniwang mga aktibidad, at maaaring itakda upang awtomatikong aprubahan ang karaniwang mga transaksyon. Sa halip na magtext sa iyo ng isang code upang makumpleto ang isang transaksyon, nagpapadala ito ng isang abiso ng push na may mga detalye ng transaksyon kasama ang username, site, at compute na kasangkot. Hindi ko pa nasubok ito, ngunit mukhang may katinuan.
Iwasan ang Two-Factor Takeover
Ang security rockstar na si Mikko Hypponnen ng F-Secure ay naglalagay ng isang mas katakut-takot na sitwasyon. Kung hindi mo pa pinagana ang pagpapatunay ng dalawang salik, ang isang malefactor na nakakakuha ng pag-access sa iyong account ay maaaring mag-set up para sa iyo, gamit ang kanyang sariling telepono.
Sa isang post sa blog, itinuturo ng Hypponen na kung magpadala ka ng mga tweet sa pamamagitan ng SMS, mayroon ka nang numero ng telepono na nauugnay sa iyong account. Madaling ihinto ang samahan na iyon; i-text lamang ang STOP sa maikling code ng Twitter para sa iyong bansa. Gayunman, tandaan na ang paggawa nito ay humihinto din sa pagpapatunay ng dalawang salik. Ang Pagpapadala ng GO ay lumiliko muli.
Sa pag-iisip nito, ang Hypponen ay nagtutuon ng isang nakakatakot na pagkakasunud-sunod ng mga kaganapan. Una, ang hacker ay nakakakuha ng access sa iyong account, marahil sa pamamagitan ng isang sibat na phishing message. Pagkatapos, sa pamamagitan ng pag-text ng Go mula sa kanyang sariling telepono papunta sa naaangkop na maikling code at pagsunod sa ilang mga senyas, nai-configure niya ang iyong account upang ang code ng pagpapatunay ng dalawang kadahilanan ay dumating sa kanyang telepono. Naka-lock ka.
Ang pamamaraan na ito ay hindi gagana kung pinagana mo na ang pagpapatunay na two-factor. "Marahil ay dapat mong paganahin ang 2FA ng iyong account, " iminungkahing Hypponen, "bago gawin ito ng ibang tao para sa iyo." Hindi ito malinaw sa akin kung bakit hindi maaaring gumamit ng SMS ang spoofing sa STOP ang dalawang-factor na pagpapatotoo at pagkatapos ay magpatuloy sa pag-atake. Maaari ba akong maging mas paranoid kaysa kay Mikko?
