Video: Twitter Hack Mystery; Does Two-Factor Authentication Make You Safe? | Tech In :60 | GZERO Media (Nobyembre 2024)
Mula sa lupain ng " kung lamang … " Kung ang Associated Press ay nag-set up ng dalawang-factor na pagpapatunay sa kanyang account sa Twitter, kung gayon ang mga pro-Syrian hacker ay hindi magagawang i-hijack ang account at maglaho.
Nice at malinis na ideya, ngunit sa katotohanan, hindi. Habang ang pagpapatunay ng two-factor ay isang malakas na tool para sa pag-secure ng mga account ng gumagamit, hindi nito malulutas ang lahat ng mga problema. Ang pagkakaroon ng dalawang-kadahilanan ay hindi nakatulong sa @AP dahil sinira ang mga hacker sa pamamagitan ng isang pag-atake sa phishing. Ang mga adversaries ay makakahanap lamang ng isa pang paraan upang linlangin ang mga gumagamit sa pag-bypass ng security layer, sabi ni Aaron Higbee, CTO ng PhishMe.
Noong Martes, ang mga hacker ng pro-Syrian ay nag-hijack sa AP Twitter account at nag-post ng isang pekeng alerto ng balita na nagsasabing isang pagsabog sa White House at nasugatan ang pangulo. Sa tatlo o apat na minuto bago nalaman ng mga kawani ng AP ang nangyari at sinabi na hindi totoo ang kwento, nag-panic ang mga namumuhunan at naging sanhi ng pagbagsak ng average ng Dow Jones Industrial sa mahigit 148 puntos. Tinantya ng Bloomberg News na ang "lumangoy" na $ 136 bilyon mula sa S&P 500 index.
Mapagpalagay, ang isang bilang ng mga eksperto sa seguridad ay agad na pinuna ang Twitter dahil sa hindi nag-aalok ng pagpapatunay na dalawang-salin "Kailangan talaga ng Twitter na mabilis na gumulong ang dalawang-factor na pagpapatunay. Sila ay nasa likuran ng merkado sa ito, " sinabi ni Andrew Storms, direktor ng operasyon ng seguridad sa nCircle, sa isang email.
Mga Grupo kumpara sa Mga Indibidwal na Account
Ang pagpapatunay ng dalawang-kadahilanan ay ginagawang mas mahirap para sa mga umaatake sa pag-hijack ng mga account ng gumagamit gamit ang mga pamamaraan ng brute-force, o pagnanakaw ng mga password sa pamamagitan ng mga pamamaraan sa panlipunan sa engineering. Ipinapalagay din na mayroong isang gumagamit bawat account.
"Ang dalawang-factor na pagpapatunay at iba pang mga hakbang ay makakatulong na mabawasan ang mga hack laban sa mga indibidwal na account. Ngunit hindi mga account sa pangkat, " sinabi ni Sean Sullivan, isang security researcher na may F-Secure, sinabi sa SecurityWatch .
Ang AP, katulad ng maraming iba pang mga organisasyon, marahil ay may maraming mga empleyado na nagpo-post sa @AP sa buong araw. Ano ang mangyayari anumang oras na sinisikap na mag-post sa Twitter? Ang bawat pagtatangka sa pag-login ay nangangailangan ng tao na mayroong rehistradong aparato, maging ito ay isang smartphone o isang token ng hardware, upang magbigay ng pangalawang-factor na code. Nakasalalay sa mekanismo sa lugar, maaari itong araw-araw, bawat ilang araw, o kung kailan idinagdag ang isang bagong aparato.
"Ito ay nagiging isang medyo makabuluhang roadblock sa pagiging produktibo, " sinabi ni Jim Fenton, CSO ng OneID, sa SecurityWatch .
Sabihin kong gusto kong mag-post sa @SecurityWatch. Kailangan kong alinman sa IM o tawagan ang aking kasamahan na "nagmamay-ari" ng account upang makuha ang code ng dalawang kadahilanan. O hindi ako kailangang mag-log in ng 30 araw dahil ang aking laptop ay isang awtorisadong aparato, ngunit ngayon ito ang ika-31 araw. At ang katapusan ng linggo. Isipin ang potensyal na mga minahan ng pang-agham na pang-industriya.
"Maglagay lamang, ang dalawang-factor na pagpapatunay ay hindi magiging sapat upang maprotektahan ang mga tao, " sabi ni Sullivan.
Two-Factor Authentication Hindi Isang Pagalingin-Lahat
Ang dalawang-factor na pagpapatunay ay isang mabuting bagay, isang malakas na tool, ngunit hindi nito magagawa ang lahat, tulad ng pagpigil sa pag-atake ng phishing, sinabi ni Fenton. Sa katunayan, sa ilalim ng karaniwang dalawang-factor na mga solusyon sa pagpapatunay, ang mga gumagamit ay maaaring madaling malinlang sa pagpapatunay ng pag-access nang hindi napagtanto ito, sinabi ni Fenton.
Isipin kung na-text ko ang aking boss: Hindi ma-login sa @securitywatch. Magpadala ako ng isang code?
Ang dalawang-factor na pagpapatunay ay ginagawang mas mahirap na mag-phish ng isang account, ngunit hindi maiwasan ang pag-atake na matagumpay, sinabi ng Higbee ng PhishMe. Sa blog ng kumpanya, inilarawan ng PhishMe kung paano ang paglalagay ng phishing sa dalawang-kadahilanan ay makitid lamang sa window ng pag-atake.
Una, nag-click ang gumagamit sa isang link sa isang phishing email, mga lupain sa isang pahina ng pag-login, at ipinasok ang tamang password at wastong dalawang-factor na code sa pekeng Website. Sa puntong ito, ang magsasalakay ay kailangang mag-log in bago mag-expire ang wastong mga kredensyal sa pag-login. Ang mga organisasyon na gumagamit ng mga token ng RSA ay maaaring magbagong muli ng isang code tuwing 30 segundo, ngunit para sa isang site ng social media, ang panahon ng pag-expire ay maaaring maraming oras, o araw, palayo.
"Hindi ito dapat sabihin ng Twitter ay hindi dapat ipatupad ang isang mas matatag na layer ng pagpapatunay, ngunit hinihiling din nito ang tanong kung hanggang saan ito mapupunta?" Sinabi ni Higbee, pagdaragdag na ang Twitter ay hindi orihinal na idinisenyo para sa paggamit ng pangkat.
Ang Pag-reset Ay Isang Mas Malalaking Suliranin
Ang pagpapatupad ng dalawang-factor na pagpapatunay sa harap ng pintuan ay hindi nangangahulugang squat kung ang likod ng pintuan ay may isang flimsy lock - isang mahina na proseso ng pag-reset ng password. Ang paggamit ng ibinahaging mga lihim, tulad ng pangalan ng pagkadalaga ng iyong ina, upang lumikha at mabawi ang pag-access sa account "ay ang Achilles Heel ng mga kasanayan sa pagpapatotoo ngayon, " sabi ni Fenton.
Kapag alam ng taga-atake ang username, ang pag-reset ng password ay isang bagay lamang sa pagtanggap ng pag-reset ng email. Ito ay maaaring mangahulugan ng pagsira sa email account, na maaaring mangyari nang maayos.
Habang ang mga katanungan sa password ay may sariling mga problema, ang Twitter ay hindi kahit na nag-aalok sa kanila bilang bahagi ng proseso ng pag-reset nito. Ang kailangan ng lahat ay ang username. Habang mayroong isang pagpipilian na "nangangailangan ng personal na impormasyon upang mai-reset ang aking password, " ang tanging dagdag na impormasyon na kinakailangan ay ang madaling makamit mga email address at numero ng telepono.
"Ang mga account sa Twitter ay magpapatuloy na mai-hack, at ang Twitter ay kailangang gumawa ng maraming mga bagay upang maprotektahan ang mga gumagamit nito - hindi lamang ang two-factor, " sabi ni Sullivan.
