บ้าน Securitywatch วิธีการตรวจสอบความถูกต้องด้วยสองปัจจัยของ Twitter

วิธีการตรวจสอบความถูกต้องด้วยสองปัจจัยของ Twitter

2024

วีดีโอ: à¤ªà¥ƒà¤¥à¥?à¤µà¥€ à¤ªà¤° à¤¸à¥?à¤¥à¤¿à¤¤ à¤à¤¯à¤¾à¤¨à¤• à¤¨à¤°à¤• à¤®à¤‚à¤¦à¤¿à¤° | Amazing H (กันยายน 2024)

วีดีโอ: à¤ªà¥ƒà¤¥à¥?à¤µà¥€ à¤ªà¤° à¤¸à¥?à¤¥à¤¿à¤¤ à¤à¤¯à¤¾à¤¨à¤• à¤¨à¤°à¤• à¤®à¤‚à¤¦à¤¿à¤° | Amazing H (กันยายน 2024)

เราได้ชี้ให้เห็นปัญหาบางอย่างกับการรับรองความถูกต้องด้วยสองปัจจัยใหม่ของ Twitter ตัวอย่างเช่นเนื่องจากหมายเลขโทรศัพท์เดียวสามารถเชื่อมโยงกับบัญชีการรับรองความถูกต้องด้วยสองปัจจัยของ Twitter จะไม่ทำงานสำหรับองค์กรเช่น Associated Press, The Onion หรือ The Guardian พวกเขาถูกแฮ็ค พวกเขายังคงถูกแฮ็กอีกครั้งในลักษณะเดียวกัน อย่างไรก็ตามผู้เชี่ยวชาญด้านความปลอดภัยระบุว่าปัญหาเลวร้ายยิ่งกว่านั้นแย่กว่านั้นมาก

โปรแกรมสองขั้นตอนของ Twitter

ถาม Josh Alexander, CEO ของ Toopher ของ บริษัท รับรองว่าคุณจะแฮ็ก Twitter อย่างไรตอนนี้มีการรับรองความถูกต้องด้วยสองปัจจัย เขาจะบอกคุณว่าคุณทำแบบเดียวกับที่คุณเคยทำก่อนที่จะมีการพิสูจน์ตัวตนแบบสองปัจจัย

ในระยะสั้นวิดีโอที่น่าตื่นเต้นเกี่ยวกับการรับรองความถูกต้องด้วยสองปัจจัยของ Twitter อเล็กซานเดอร์แสดงความยินดีกับ Twitter ที่เข้าร่วม "โปรแกรมสองขั้นตอนการรักษาความปลอดภัย" และเข้าสู่ขั้นตอนแรกโดยยอมรับว่ามีปัญหาอยู่ จากนั้นเขาก็จะแสดงให้เห็นว่าการรับรองความถูกต้องด้วยสองปัจจัยจาก SMS ช่วยได้อย่างไร “ โซลูชั่นใหม่ของคุณเปิดกว้างสำหรับการโจมตี” อเล็กซานเดอร์กล่าว“ สำหรับการโจมตีแบบคนต่อคนเดียวกันที่ทำลายชื่อเสียงของแหล่งข่าวและดาราที่สำคัญ”

กระบวนการเริ่มต้นจากแฮ็กเกอร์ที่ส่งอีเมลที่น่าเชื่อถือข้อความแนะนำให้ฉันเปลี่ยนรหัสผ่าน Twitter ด้วยลิงก์ไปยังไซต์ Twitter ปลอม เมื่อฉันทำแฮ็กเกอร์ใช้ข้อมูลรับรองการเข้าสู่ระบบที่ฉันจับเพื่อเชื่อมต่อกับ Twitter จริง Twitter ส่งรหัสยืนยันให้ฉันแล้วฉันจะป้อนให้กับแฮ็กเกอร์ ณ จุดนี้บัญชีถูก pwned ดูวิดีโอ - มันแสดงกระบวนการอย่างชัดเจน

ไม่แปลกใจเลยที่ Toopher นำเสนอการรับรองความถูกต้องด้วยสองปัจจัยที่แตกต่างจากสมาร์ทโฟน โซลูชัน Toopher ติดตามสถานที่และกิจกรรมตามปกติของคุณและสามารถตั้งค่าให้อนุมัติการทำธุรกรรมตามปกติโดยอัตโนมัติ แทนที่จะส่งรหัสถึงคุณเพื่อทำธุรกรรมให้เสร็จสมบูรณ์ระบบจะส่งการแจ้งเตือนแบบพุชพร้อมรายละเอียดของธุรกรรมรวมถึงชื่อผู้ใช้ไซต์และการคำนวณที่เกี่ยวข้อง ฉันไม่ได้ทำการทดสอบ แต่มันดูสมเหตุสมผล

หลีกเลี่ยงการครอบครองสองปัจจัย

การรักษาความปลอดภัย rockstar Mikko Hypponnen จาก F-Secure ทำให้สถานการณ์เลวร้ายยิ่งขึ้น หากคุณไม่ได้เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยผู้กระทำความผิดที่สามารถเข้าถึงบัญชีของคุณสามารถตั้งค่า ให้ คุณโดยใช้โทรศัพท์ของเขาเอง

ในโพสต์บล็อก Hypponen ชี้ให้เห็นว่าถ้าคุณส่งทวีตผ่าน SMS คุณมีหมายเลขโทรศัพท์ที่เชื่อมโยงกับบัญชีของคุณแล้ว มันง่ายที่จะหยุดความสัมพันธ์นั้น เพียงแค่ส่งข้อความ STOP ไปที่รหัสย่อ Twitter สำหรับประเทศของคุณ อย่างไรก็ตามโปรดทราบว่าการทำเช่นนี้ยังเป็นการหยุดการรับรองความถูกต้องด้วยสองปัจจัย กำลังส่ง GO จะเปิดอีกครั้ง

เมื่อนึกถึงเรื่องนี้ Hypponen จึงจัดลำดับเหตุการณ์ที่น่ากลัว ขั้นแรกแฮ็กเกอร์เข้าถึงบัญชีของคุณอาจผ่านข้อความหลอกลวงแบบฟิชชิง จากนั้นโดยการส่งข้อความ GO จากโทรศัพท์ของเขาเองไปยังรหัสย่อที่เหมาะสมและทำตามคำแนะนำบางอย่างเขาจะกำหนดค่าบัญชีของคุณเพื่อให้รหัสการตรวจสอบสิทธิ์แบบสองปัจจัยมาถึงโทรศัพท์ของเขา คุณถูกล็อค

เทคนิคนี้จะไม่ทำงานหากคุณเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยแล้ว "บางทีคุณควรเปิดใช้งาน 2FA ของบัญชีของคุณ" Hypponen แนะนำ "ก่อนที่คนอื่นจะทำเพื่อคุณ" มันไม่ชัดเจนเลยสำหรับฉันว่าทำไมผู้โจมตีไม่สามารถใช้ SMS ปลอมแปลงเพื่อการรับรองความถูกต้องแบบสองปัจจัย STOP ก่อนแล้วจึงดำเนินการโจมตีต่อ ฉันจะหวาดระแวงมากกว่ามิกโกไหม