Video: Bring on the learning revolution! | Ken Robinson (Decembris 2024)
Čivināt divpakāpju programma
Jautājiet Džošam Aleksandram, autentifikācijas uzņēmuma Toopher izpilddirektoram, kā jūs varētu uzlaupīt čivināt tagad, kad notiek divu faktoru autentifikācija. Viņš jums pateiks, ka jūs to darāt tieši tāpat kā pirms divfaktoru autentifikācijas.
Īsā, droll videoklipā par čivināt divu faktoru autentifikāciju Aleksandrs apsveic čivināt par pievienošanos “drošības divpakāpju programmai” un spertu pirmo soli, atzīstot, ka problēma pastāv. Pēc tam viņš ilustrē, cik maz palīdz uz SMS balstīta divu faktoru autentifikācija. "Jūsu jaunais risinājums atstāj durvis plaši atvērtas, " sacīja Aleksandrs, "attiecībā uz tiem pašiem uzbrukumiem, kas notika vidusdaļā, kas apdraudēja galveno ziņu avotu un slavenību reputāciju."
Process sākas ar to, ka hakeris nosūta pārliecinošu e-pastu, ziņojumu, kurā man ieteikts mainīt savu Twitter paroli, ar saiti uz viltus Twitter vietni. Kad es to izdarīju, hakeris izmanto manus notvertos pieteikšanās akreditācijas datus, lai izveidotu savienojumu ar īsto Twitter. Twitter man atsūta verifikācijas kodu, un es to ievadu, tādējādi dodot to hakerim. Šajā brīdī konts tiek sagrauts. Noskatieties video - tas ļoti skaidri parāda procesu.
Nav pārsteigums, ka Toopher piedāvā cita veida uz viedtālruņiem balstītu divu faktoru autentifikāciju. Toopher risinājums seko jūsu parastajām atrašanās vietām un parastajām darbībām, un to var iestatīt automātiski apstiprināt parastos darījumus. Tā vietā, lai nosūtītu jums kodu darījuma pabeigšanai, tas nosūta push paziņojumu ar informāciju par darījumu, ieskaitot lietotājvārdu, vietni un iesaistīto datoru. Es to neesmu pārbaudījis, bet tas izskatās saprātīgi.
Izvairieties no divu faktoru pārņemšanas
Drošības šūpuļzirgs Mikko Hypponnen no F-Secure rada vēl drausmīgāku scenāriju. Ja neesat iespējojis divu faktoru autentifikāciju, ļaundaris, kurš iegūst piekļuvi jūsu kontam, varētu to iestatīt jums, izmantojot savu tālruni.
Emuāra ierakstā Hiponens norāda, ka, ja jūs kādreiz sūtāt tweets, izmantojot SMS, jums jau ir tālruņa numurs, kas saistīts ar jūsu kontu. Ir viegli apturēt šo asociāciju; vienkārši nosūtiet tekstu PĀRTRAUKT uz savas valsts Twitter īso kodu. Tomēr ņemiet vērā, ka tas arī aptur divu faktoru autentifikāciju. Sūtot GO, tas atkal tiek ieslēgts.
Paturot to prātā, Hiponens izliekas biedējošu notikumu secību. Pirmkārt, hakeris var piekļūt jūsu kontam, iespējams, izmantojot šķēpa pikšķerēšanas ziņojumu. Pēc tam, nosūtot īsziņu GO no sava tālruņa uz atbilstošo īso kodu un sekojot dažām uzvednēm, viņš konfigurē jūsu kontu tā, lai viņa tālrunī nonāktu divfaktoru autentifikācijas kods. Jūs esat izslēgts.
Šis paņēmiens nedarbosies, ja jau esat iespējojis divu faktoru autentifikāciju. "Varbūt jums vajadzētu iespējot sava konta 2FA, " ieteica Hypponen, "pirms kāds cits to izdarītu jūsu labā." Man nav pilnīgi skaidrs, kāpēc uzbrucējs vispirms nevarēja izmantot SMS šmaukšanu, lai apturētu divu faktoru autentifikāciju un pēc tam turpinātu uzbrukumu. Vai es varētu būt paranoiķis nekā Mikko?
