Casa Securitywatch L'autenticazione a due fattori non avrebbe impedito l'hack di ap twitter

L'autenticazione a due fattori non avrebbe impedito l'hack di ap twitter

Video: Satisfying Video l Kinetic Sand Nail Polish Foot Cutting ASMR #7 Rainbow ToyTocToc (Novembre 2024)

Video: Satisfying Video l Kinetic Sand Nail Polish Foot Cutting ASMR #7 Rainbow ToyTocToc (Novembre 2024)
Anonim

Dalla terra di " se solo… " Se l'Associated Press avesse impostato l'autenticazione a due fattori con il suo account Twitter, gli hacker pro-siriani non sarebbero stati in grado di dirottare l'account e provocare il caos.

Idea bella e ordinata, ma in realtà no. Mentre l'autenticazione a due fattori è un potente strumento per proteggere gli account utente, non può risolvere tutti i problemi. Avere due fattori non avrebbe aiutato @AP perché gli hacker hanno fatto irruzione attraverso un attacco di phishing. Gli avversari avrebbero semplicemente trovato un altro modo per indurre gli utenti a bypassare il livello di sicurezza, ha affermato Aaron Higbee, CTO di PhishMe.

Martedì, gli hacker filo-siriani hanno dirottato l'account Twitter dell'AP e pubblicato un falso avviso di notizie sostenendo un'esplosione alla Casa Bianca e che il presidente era stato ferito. Nei tre o quattro minuti prima che lo staff di AP scoprisse cosa era successo e affermava che la storia era falsa, gli investitori si sono fatti prendere dal panico e hanno fatto crollare la media di Dow Jones Industrial oltre 148 punti. Bloomberg News ha stimato che il calo "ha spazzato" $ 136 miliardi dall'indice S&P 500.

Com'era prevedibile, alcuni esperti di sicurezza hanno immediatamente criticato Twitter per non aver offerto l'autenticazione a due fattori. "Twitter ha davvero bisogno di implementare rapidamente l'autenticazione a due fattori. Sono molto indietro rispetto al mercato", ha dichiarato Andrew Storms, direttore delle operazioni di sicurezza di nCircle, in una e-mail.

Gruppi vs singoli account

L'autenticazione a due fattori rende più difficile per gli aggressori dirottare gli account degli utenti utilizzando metodi a forza bruta o rubare le password tramite metodi di social engineering. Presuppone inoltre che vi sia un solo utente per account.

"L'autenticazione a due fattori e altre misure aiuteranno a ridurre gli hack contro singoli account. Ma non gli account di gruppo", ha detto a SecurityWatch Sean Sullivan, un ricercatore di sicurezza con F-Secure.

AP, proprio come molte altre organizzazioni, probabilmente ha avuto più dipendenti che pubblicano su @AP durante il giorno. Cosa accadrebbe ogni volta che qualcuno prova a postare su Twitter? Ogni tentativo di accesso richiede che la persona che ha il dispositivo registrato, sia esso uno smartphone o un token hardware, fornisca il codice di secondo fattore. A seconda del meccanismo in atto, questo potrebbe essere ogni giorno, ogni pochi giorni o ogni volta che viene aggiunto un nuovo dispositivo.

"Diventa un ostacolo piuttosto significativo per la produttività", ha dichiarato Jim Fenton, CSO di OneID, a SecurityWatch .

Di 'che voglio pubblicare su @SecurityWatch. Avrei dovuto inviare un messaggio istantaneo o chiamare il mio collega che "possedeva" l'account per ottenere il codice a due fattori. Oppure non ho dovuto effettuare l'accesso per 30 giorni perché il mio laptop era un dispositivo autorizzato, ma ora è il 31 ° giorno. E il fine settimana. Immagina i potenziali campi minati di ingegneria sociale.

"In poche parole, l'autenticazione a due fattori non sarà sufficiente per proteggere le persone", ha affermato Sullivan.

L'autenticazione a due fattori non è una cura per tutti

L'autenticazione a due fattori è una buona cosa, uno strumento potente, ma non può fare tutto, come prevenire gli attacchi di phishing, ha affermato Fenton. In effetti, con le comuni soluzioni di autenticazione a due fattori, gli utenti possono essere facilmente indotti ad autenticare l'accesso senza accorgersene, ha affermato Fenton.

Immagina se avessi mandato un sms al mio capo: non riesco ad accedere a @securitywatch. Mi mandi un codice?

L'autenticazione a due fattori rende più difficile il phishing di un account, ma non impedisce che l'attacco abbia successo, ha affermato Higbee di PhishMe. Sul blog aziendale, PhishMe ha illustrato come il phishing che ignora i due fattori restringe la finestra di attacco.

Innanzitutto, l'utente fa clic su un collegamento in un'e-mail di phishing, arriva su una pagina di accesso e immette la password corretta e il codice a due fattori valido sul sito Web falso. A questo punto, l'attaccante deve solo accedere prima che scadano le credenziali di accesso valide. Le organizzazioni che utilizzano i token RSA possono rigenerare un codice ogni 30 secondi, ma per un sito di social media, il periodo di scadenza potrebbe essere di diverse ore o giorni.

"Questo non vuol dire che Twitter non dovrebbe implementare un livello più solido di autenticazione, ma pone anche la domanda su quanto lontano dovrebbe andare?" Higbee ha detto, aggiungendo che Twitter non era originariamente progettato per l'uso di gruppo.

I ripristini sono un problema più grande

L'implementazione dell'autenticazione a due fattori sulla porta d'ingresso non significa squat se la porta posteriore ha un lucchetto fragile: un processo di reimpostazione della password debole. L'uso di segreti condivisi, come il cognome da nubile di tua madre, per creare e recuperare l'accesso all'account "è il tallone d'Achille delle pratiche di autenticazione odierne", ha affermato Fenton.

Quando l'autore dell'attacco conosce il nome utente, le reimpostazioni della password sono solo una questione di intercettazione dell'email di reimpostazione. Questo può significare entrare nell'account e-mail, cosa che può benissimo accadere.

Mentre le domande di suggerimento per la password hanno i loro problemi, Twitter non le offre nemmeno come parte del processo di reimpostazione. Tutto ciò di cui chiunque ha bisogno è il nome utente. Mentre esiste un'opzione per "richiedere informazioni personali per reimpostare la mia password", le uniche informazioni aggiuntive richieste sono gli indirizzi e-mail e il numero di telefono facilmente ottenibili.

"Gli account Twitter continueranno a essere violati e Twitter deve fare diverse cose per proteggere i propri utenti, non solo due fattori", ha affermato Sullivan.

L'autenticazione a due fattori non avrebbe impedito l'hack di ap twitter