วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (ธันวาคม 2024)
จากดินแดนของ " ถ้าเพียง … " หาก Associated Press ได้ตั้งค่าการตรวจสอบสองปัจจัยด้วยบัญชี Twitter แล้วแฮ็กเกอร์ชาวซีเรียจะไม่สามารถขโมยบัญชีและทำลายความเสียหายได้
ความคิดที่ดีและเป็นระเบียบเรียบร้อย แต่ในความเป็นจริงไม่มี แม้ว่าการรับรองความถูกต้องด้วยสองปัจจัยเป็นเครื่องมือที่มีประสิทธิภาพสำหรับการรักษาความปลอดภัยบัญชีผู้ใช้ แต่ก็ไม่สามารถแก้ไขปัญหาทั้งหมดได้ การมีสองปัจจัยจะไม่ช่วย @AP เนื่องจากแฮกเกอร์เจาะผ่านการโจมตีแบบฟิชชิง ฝ่ายตรงข้ามจะหาวิธีอื่นในการหลอกลวงผู้ใช้ให้ผ่านเลเยอร์ความปลอดภัยแอรอนฮิกบีซีของ PhishMe กล่าว
เมื่อวันอังคารแฮ็กเกอร์ชาวซีเรียได้ทำการลักลอบใช้บัญชี AP Twitter และโพสต์ข้อความแจ้งเตือนปลอมที่อ้างว่าเกิดการระเบิดที่ทำเนียบขาวและประธานาธิบดีได้รับบาดเจ็บ ในสามหรือสี่นาทีก่อนที่ทีมงาน AP จะรู้ว่าเกิดอะไรขึ้นและพูดว่าเรื่องนี้เป็นเรื่องจริงนักลงทุนตื่นตระหนกและทำให้ค่าเฉลี่ยอุตสาหกรรมดาวโจนส์เกลือกกลิ้ง 148 จุด สำนักข่าว Bloomberg คาดการณ์ว่าจะ "ลบ" 136 พันล้านดอลลาร์จากดัชนี S&P 500
ผู้เชี่ยวชาญด้านความปลอดภัยจำนวนหนึ่งวิพากษ์วิจารณ์ Twitter ในทันทีโดยไม่ให้การรับรองความถูกต้องด้วยสองปัจจัย “ Twitter ต้องการการรับรองความถูกต้องแบบสองปัจจัยอย่างรวดเร็วพวกเขาอยู่เบื้องหลังตลาดในเรื่องนี้” Andrew Storms ผู้อำนวยการฝ่ายปฏิบัติการรักษาความปลอดภัยของ nCircle กล่าวในอีเมล
กลุ่มเทียบกับบัญชีส่วนบุคคล
การพิสูจน์ตัวตนแบบสองปัจจัยทำให้ผู้โจมตีจี้บัญชีผู้ใช้โดยใช้วิธีการเดรัจฉานบังคับได้ยากขึ้นหรือขโมยรหัสผ่านด้วยวิธีการทางวิศวกรรมสังคม นอกจากนี้ยังถือว่ามีผู้ใช้เพียงหนึ่งรายต่อบัญชี
“ การรับรองความถูกต้องด้วยสองปัจจัยและมาตรการอื่น ๆ จะช่วยลดแฮ็คกับบัญชีแต่ละบัญชี แต่ไม่ใช่บัญชีกลุ่ม” Sean Sullivan นักวิจัยด้านความปลอดภัยของ F-Secure กล่าวกับ SecurityWatch
AP เหมือนกับองค์กรอื่น ๆ หลายแห่งอาจมีพนักงานหลายคนโพสต์ที่ @AP ตลอดทั้งวัน จะเกิดอะไรขึ้นเมื่อใดก็ตามที่มีคนพยายามโพสต์ไปที่ Twitter ความพยายามในการเข้าสู่ระบบทุกครั้งต้องมีบุคคลที่มีอุปกรณ์ที่ลงทะเบียนไม่ว่าจะเป็นสมาร์ทโฟนหรือโทเค็นฮาร์ดแวร์เพื่อให้รหัสปัจจัยที่สอง อาจเป็นได้ทุกวันทุก ๆ วันหรือทุกครั้งที่มีการเพิ่มอุปกรณ์ใหม่ทั้งนี้ขึ้นอยู่กับกลไกที่ใช้
“ มันกลายเป็นสิ่งกีดขวางบนถนนที่สำคัญต่อผลผลิต” Jim Fenton, CSO ของ OneID กล่าวกับ SecurityWatch
บอกว่าฉันต้องการโพสต์ไปที่ @SecurityWatch ฉันต้อง IM หรือโทรหาเพื่อนร่วมงานของฉันที่ "เป็นเจ้าของ" บัญชีเพื่อรับรหัสสองปัจจัย หรือฉันไม่จำเป็นต้องเข้าสู่ระบบเป็นเวลา 30 วันเพราะแล็ปท็อปของฉันเป็นอุปกรณ์ที่ได้รับอนุญาต แต่ตอนนี้มันเป็นวันที่ 31 และช่วงสุดสัปดาห์ ลองนึกภาพทุ่นระเบิดวิศวกรรมสังคมที่มีศักยภาพ
“ การพิสูจน์ตัวตนแบบสองปัจจัยนั้นไม่เพียงพอสำหรับการปกป้องผู้คน” ซัลลิแวนกล่าว
การรับรองความถูกต้องแบบสองปัจจัยไม่ใช่วิธีรักษาทั้งหมด
การพิสูจน์ตัวตนแบบสองปัจจัยเป็นสิ่งที่ดีเครื่องมือที่ทรงพลัง แต่ไม่สามารถทำทุกอย่างเช่นการป้องกันการโจมตีแบบฟิชชิงเฟนตันกล่าว ในความเป็นจริงภายใต้โซลูชันการรับรองความถูกต้องแบบสองปัจจัยทั่วไปผู้ใช้สามารถถูกหลอกให้เข้าถึงการตรวจสอบสิทธิ์โดยไม่ต้องตระหนักว่า Fenton กล่าว
ลองนึกภาพถ้าฉันส่งข้อความถึงเจ้านายของฉัน: ไม่สามารถลงชื่อเข้าใช้ @securitywatch ได้ ส่งรหัสหรือไม่
การพิสูจน์ตัวตนแบบสองปัจจัยทำให้การฟิชชิ่งบัญชีทำได้ยากขึ้น แต่ไม่ได้ป้องกันการโจมตีจากการประสบความสำเร็จ Higbee ของ PhishMe กล่าว ในบล็อกของ บริษัท PhishMe แสดงให้เห็นว่าฟิชชิ่งเลี่ยงสองปัจจัยเพียงทำให้หน้าต่างการโจมตีแคบลง
ขั้นแรกผู้ใช้คลิกที่ลิงค์ในอีเมลฟิชชิ่งลงจอดในหน้าเข้าสู่ระบบและป้อนรหัสผ่านที่ถูกต้องและรหัสสองปัจจัยที่ถูกต้องบนเว็บไซต์ปลอม ณ จุดนี้ผู้โจมตีจะต้องเข้าสู่ระบบก่อนที่ข้อมูลรับรองการเข้าสู่ระบบที่ถูกต้องจะหมดอายุ องค์กรที่ใช้โทเค็น RSA อาจสร้างรหัสใหม่ทุก ๆ 30 วินาที แต่สำหรับไซต์โซเชียลมีเดียระยะเวลาหมดอายุอาจนานหลายชั่วโมงหรือหลายวัน
"นี่ไม่ได้เป็นการบอกว่า Twitter ไม่ควรใช้การพิสูจน์ตัวตนที่มีประสิทธิภาพมากขึ้น แต่มันก็ถามว่ามันควรจะไปไกลแค่ไหน" Higbee กล่าวเพิ่มเติมว่า Twitter ไม่ได้ถูกออกแบบมาเพื่อใช้ในกลุ่ม
การรีเซ็ตเป็นปัญหาที่ใหญ่กว่า
การใช้การรับรองความถูกต้องด้วยสองปัจจัยที่ประตูหน้าจะไม่ได้หมายความว่าหมอบหากประตูหลังมีการล็อคที่บอบบาง - กระบวนการรีเซ็ตรหัสผ่านที่อ่อนแอ การใช้ความลับร่วมกันเช่นชื่อเดิมของแม่ของคุณในการสร้างและกู้คืนการเข้าถึงบัญชี "เป็นจุดอ่อนของแนวทางการตรวจสอบสิทธิ์ในวันนี้" เฟนตันกล่าว
เมื่อผู้โจมตีทราบชื่อผู้ใช้การรีเซ็ตรหัสผ่านเป็นเพียงเรื่องของการสกัดกั้นอีเมลรีเซ็ต นี่อาจหมายถึงการเจาะเข้าไปในบัญชีอีเมลซึ่งอาจเกิดขึ้นได้เป็นอย่างดี
ในขณะที่คำถามคำใบ้รหัสผ่านมีปัญหาของตนเอง Twitter ไม่ได้เสนอให้เป็นส่วนหนึ่งของกระบวนการรีเซ็ต ทุกความต้องการคือชื่อผู้ใช้ ในขณะที่มีตัวเลือก "ต้องการข้อมูลส่วนบุคคลเพื่อรีเซ็ตรหัสผ่านของฉัน" ข้อมูลเพิ่มเติมที่จำเป็นเท่านั้นคือที่อยู่อีเมลและหมายเลขโทรศัพท์ที่หาได้ง่าย
“ บัญชี Twitter กำลังจะถูกแฮ็กต่อไปและ Twitter จำเป็นต้องทำหลายสิ่งเพื่อปกป้องผู้ใช้ไม่ใช่แค่สองปัจจัย” ซัลลิแวนกล่าว
