כיצד לפרוץ אימות דו-גורמי של twitter

צייננו כמה בעיות באימות הדו-גורמים החדש של טוויטר. לדוגמה, מכיוון שניתן לקשר רק מספר טלפון אחד לחשבון, אימות הדו-גורמים של טוויטר לא יעבוד עבור ארגונים כמו Associated Press, The Onion או The Guardian. הם נפרצו; הם עדיין יכולים להיפרץ שוב באותו אופן. עם זאת, מומחי אבטחה מצביעים על כך שהבעיה גרועה מזה, גרועה בהרבה.

התוכנית הדו-שלבית של טוויטר

שאל את ג'וש אלכסנדר, מנכ"ל חברת האימות טופר, כיצד היית מסתדר עם פריצת טוויטר כעת כאשר אימות דו-גורמי קיים. הוא יגיד לך שאתה עושה את זה בדיוק כמו שעשית לפני הופעת האימות הדו-גורמי.

בסרטון קצר וטרולי העוסק באימות הדו-גורמים של טוויטר, אלכסנדר מברך את טוויטר על הצטרפותו ל"תוכנית דו-שלבית בטחונית "ועושה את הצעד הראשון, מודה שיש בעיה. לאחר מכן הוא ממשיך להמחיש עד כמה מעט אימות הדו-גורמים מבוסס ה- SMS עוזר. "הפיתרון החדש שלך משאיר את הדלת לרווחה, " אמר אלכסנדר, "לאותם התקפות של איש באמצע שפגעו במוניטין של מקורות חדשות וסלבריטאים גדולים."

התהליך מתחיל בכך שהאקר שולח אימייל משכנע, הודעה שממליצה לי לשנות את סיסמת הטוויטר שלי, עם קישור לאתר טוויטר מזויף. ברגע שאני עושה זאת, ההאקר משתמש בתעודות הכניסה שלי שנלכדו כדי להתחבר לטוויטר האמיתי. טוויטר שולח לי קוד אימות ואני נכנס אליו ובכך נותן אותו להאקר. בשלב זה החשבון מושמט. צפו בסרטון - הוא מראה את התהליך בצורה מאוד ברורה.

אין זה מפתיע שטופר מציעה אימות דו-גורמי מבוסס סמארטפון מסוג אחר. פיתרון Toopher עוקב אחר המיקומים הרגילים והפעילויות הרגילות שלך, וניתן להגדירו לאישור אוטומטי של עסקאות רגילות. במקום לשלוח לך קוד להשלמת עסקה, הוא שולח הודעת דחיפה עם פרטי העסקה כולל שם המשתמש, האתר והמחשוב המעורב. לא בדקתי את זה, אבל זה נראה הגיוני.

הימנע מהשתלטות על שני גורמים

כוכב הרוקיסטי Mikko Hypponnen מבית F-Secure מציג תרחיש קשה עוד יותר. אם לא הפעלת אימות דו-גורמי, גורם רעה שיזכה בגישה לחשבונך יוכל להגדיר אותו עבורך באמצעות הטלפון שלו.

בפוסט בבלוג מציין Hypponen כי אם אי פעם תשלח ציוצים באמצעות SMS, כבר יש לך מספר טלפון המשויך לחשבונך. קל לעצור את העמותה הזו; פשוט שלח STOP לקוד הקצר של טוויטר עבור המדינה שלך. עם זאת, שים לב כי פעולה זו גם עוצרת אימות דו-גורמי. שליחת GO מדליקה אותו שוב.

מתוך מחשבה זו, היפונן מציב רצף אירועים מפחיד. ראשית, ההאקר מקבל גישה לחשבונך, אולי באמצעות הודעת דיוג חנית. ואז, על ידי העברת SMS מהטלפון שלו לקוד הקצר המתאים ובעקבות מספר הנחיות, הוא מגדיר את חשבונך כך שקוד האימות הדו-גורמי יגיע לטלפון שלו. אתה נעול בחוץ.

טכניקה זו לא תעבוד אם כבר אפשרת אימות דו-גורמי. "אולי עליך לאפשר את 2FA של חשבונך, " הציע היפונן, "לפני שמישהו אחר יעשה זאת בשבילך." לא לגמרי ברור לי מדוע התוקף לא יכול היה להשתמש קודם בזיוף SMS כדי להפסיק אימות דו-גורמי ואז להמשיך בהתקפה. האם אוכל להיות יותר פרנואידית ממיקו?