L'autenticació de dos factors no hauria impedit AP Twitter Hack

Twitter de dos factors



De la terra de ' si només… Si Associated Press hagués establert l'autenticació de dos factors amb el seu compte de Twitter, els pirates informàtics pro-sirians no haurien pogut segrestar el compte i causar estralls.

Una idea maca i ordenada, però en realitat, no. Tot i que l'autenticació de dos factors és una eina potent per protegir els comptes d'usuari, no pot resoldre tots els problemes. Tenir dos factors no hauria ajudat @AP perquè els pirates informàtics van irrompre mitjançant un atac de pesca. Els adversaris només trobarien una altra manera d'enganyar els usuaris perquè passin per alt la capa de seguretat, va dir Aaron Higbee, CTO de PhishMe.





Dimarts, pirates informàtics pro-sirians van segrestar el compte de Twitter de l'AP i van publicar una alerta de notícies falses que afirmaven una explosió a la Casa Blanca i que el president havia estat ferit. En els tres o quatre minuts abans que el personal d'AP s'adonés del que va passar i digués que la història era falsa, els inversors van entrar en pànic i van fer que la mitjana de Dow Jones Industrial caigués més de 148 punts. Notícies de Bloomberg va estimar que la caiguda va 'esborrar' 136.000 milions de dòlars de l'índex S&P 500.

Com era previsible, diversos experts en seguretat van criticar immediatament Twitter per no oferir autenticació de dos factors. 'Twitter realment necessita que l'autenticació de dos factors s'instal·li ràpidament. Estan molt per darrere del mercat en això', va dir Andrew Storms, director d'operacions de seguretat de nCircle, en un correu electrònic.



Grups vs comptes individuals
L'autenticació de dos factors fa que sigui més difícil per als atacants segrestar comptes d'usuari mitjançant mètodes de força bruta o robar contrasenyes mitjançant mètodes d'enginyeria social. També suposa que només hi ha un usuari per compte.

'L'autenticació de dos factors i altres mesures ajudaran a reduir els pirates contra comptes individuals. Però no comptes de grup', va dir Sean Sullivan, investigador de seguretat de F-Secure Vigilància de seguretat .

AP, com moltes altres organitzacions, probablement tenia diversos empleats que feien publicacions a @AP al llarg del dia. Què passaria cada vegada que algú intentés publicar a Twitter? Cada intent d'inici de sessió requereix que la persona que té el dispositiu registrat, ja sigui un telèfon intel·ligent o un testimoni de maquinari, proporcioni el codi de segon factor. Depenent del mecanisme establert, això podria ser cada dia, cada pocs dies o cada vegada que s'afegeixi un dispositiu nou.

'Es converteix en un obstacle bastant important per a la productivitat', va dir Jim Fenton, CSO de OneID Vigilància de seguretat .

Digues que vull publicar a @SecurityWatch. Hauria d'enviar un missatge per missatgeria instantània o trucar al meu company que era 'propietari' del compte per obtenir el codi de dos factors. O no vaig haver d'iniciar sessió durant 30 dies perquè el meu ordinador portàtil era un dispositiu autoritzat, però ara és el dia 31. I el cap de setmana. Imagineu els possibles camps de mines d'enginyeria social.

'En poques paraules, l'autenticació de dos factors no serà suficient per protegir les persones', va dir Sullivan.

L'autenticació de dos factors no és una cura
L'autenticació de dos factors és una bona cosa, una eina potent, però no pot fer-ho tot, com ara prevenir atacs de pesca, va dir Fenton. De fet, amb solucions comunes d'autenticació de dos factors, els usuaris poden ser fàcilment enganyats perquè autentiquin l'accés sense adonar-se'n, va dir Fenton.

Imagineu-vos si hagués enviat un missatge de text al meu cap: No puc iniciar sessió a @securitywatch. Envieu-me un codi?

L'autenticació de dos factors fa que sigui més difícil pescar un compte, però no impedeix que l'atac tingui èxit, va dir Higbee de PhishMe. Al bloc de l'empresa, PhishMe va il·lustrar com phishing sense passar per dos factors només redueix la finestra d'atac.

En primer lloc, l'usuari fa clic en un enllaç d'un correu electrònic de pesca, arriba a una pàgina d'inici de sessió i introdueix la contrasenya adequada i el codi vàlid de dos factors al lloc web fals. En aquest punt, l'atacant només ha d'iniciar sessió abans que caduquin les credencials d'inici de sessió vàlides. Les organitzacions que utilitzen fitxes RSA poden regenerar un codi cada 30 segons, però per a un lloc de xarxes socials, el període de caducitat pot ser de diverses hores o dies.

'Això no vol dir que Twitter no hauria d'implementar una capa d'autenticació més robusta, però també planteja la pregunta de fins on hauria d'arribar?' Higbee va dir, i va afegir que Twitter no estava dissenyat originalment per a ús en grup.

Els restabliments són un problema més gran
La implementació de l'autenticació de dos factors a la porta d'entrada no significarà posar-se a la gatzoneta si la porta del darrere té un pany fràgil, un procés feble de restabliment de la contrasenya. L'ús de secrets compartits, com ara el nom de soltera de la teva mare, per crear i recuperar l'accés al compte 'és el taló d'Aquil·les de les pràctiques d'autenticació actuals', va dir Fenton.

Quan l'atacant coneix el nom d'usuari, la restabliment de la contrasenya només és qüestió d'interceptar el correu electrònic de restabliment. Això pot significar entrar al compte de correu electrònic, cosa que pot passar molt bé.

Tot i que les preguntes sobre suggeriments de contrasenya tenen els seus propis problemes, Twitter ni tan sols els ofereix com a part del seu procés de restabliment. Tot el que necessita tothom és el nom d'usuari. Tot i que hi ha una opció per 'exigir informació personal per restablir la meva contrasenya', l'única informació addicional necessària són les adreces de correu electrònic i el número de telèfon que es poden obtenir fàcilment.

'Els comptes de Twitter es continuaran piratejant i Twitter ha de fer diverses coses per protegir els seus usuaris, no només en dos factors', va dir Sullivan.

Recomanat