אימות הדו-גורמים של טוויטר לא יכול להפסיק את חטיפות החשבון

טוויטר מטפלת סוף סוף בבעיה קוצנית של חטיפות חשבונות על ידי הפעלת אימות דו-גורמי לכל המשתמשים. אמנם צעד ראשון הכרחי, אך אין די בכך לסכל את כל החוטפים.

משתמשים אשר יבחרו להשתמש באימות דו-גורמי יתבקשו להזין את הקוד הייחודי בן שש הספרות שנשלח באמצעות SMS לטלפונים שלהם יחד עם שם המשתמש והסיסמה הרגילים בכל פעם שהם ינסו להיכנס ל- Twitter.com, ג'ים אולרי, חבר בצוות אבטחת המוצרים של טוויטר, כתב בבלוג של החברה. מכיוון שכלי צד ג 'כגון HootSuite מסתמכים על שיטת אימות שונה, אסור שהם צריכים להיות מושפעים משינוי זה.

קן פיקרינג, מנהל הפיתוח של מודיעין האבטחה ב- CORE Security, אמר ל- SecurityWatch: "זהו צעד גדול ואיחור, צעד אחר ידי טוויטר לקראת היותו בטוח יותר, אבל זה רק מחצית הקרב. אין פירושו של שני גורמים כווץ אם אנשים לא ממש מאפשרים זאת ומגדירים אותו נכון.

SecurityWatch ממליץ למשתמשים להפעיל אימות דו-גורמי עבור חשבונות הטוויטר שלהם. לאחר שכבת אבטחה נוספת על גבי שילוב הסיסמה ושם המשתמש הרגיל זה תמיד דבר טוב, גם אם זה לא תמיד הצעד הנוח ביותר. אם אינך רואה את האפשרות בדף ההגדרות שלך, שב חזק.

עם זאת, אלמנטים דו-גורמיים לא צריכים להחליף את השכל הישר מכיוון שעדיין יש דרכים רבות ליריבים להשיג שליטה בחשבונך.

מדוע זה לא יעזור לחברות

אימות דו-גורמי הוא מאפיין אבטחה נהדר, ואנשים צריכים לשקול ברצינות לאפשר את ההגנה על חשבונותיהם, אך זה לא תרופה לכל סוגיה של אימות.

למעשה, שני גורמים אפילו לא יסייעו לארגונים שלא רוצים לחטוף את הדרך שבה AP, The Onion ו- The Guardian היו מוקדם יותר החודש על ידי הצבא האלקטרוני הסורי. מרבית הארגונים חולקים חשבונות, שבהם מספר אנשי צוות מפרסמים באמצעות אותו חשבון. הם לא יוכלו להפעיל שני גורמים מכיוון שלחברי צוות אין גישה לאותו טלפון, ציין גרהאם קלולי, יועץ טכנולוגי בכיר בסופוס, בבלוג של Naked Security.

האפשרויות שלהם הן להישאר מחובר תמיד - שהוא ביטחון ללא ביטחון - או שכל אחד מאנשי העובדים יפנה אל בעל הטלפון כדי לשלוח את הקוד בן שש הספרות בכל פעם שהוא רוצה להתחבר. אני לא רואה שזה מסתדר טוב, האם אתה?

אם משתמשים בדיוג בקלות, אימות דו-גורמי לא ממש יעזור. מישהו נופל על המלכודת ומתמודד עם הזנת הקוד שש בן הספרות לדף מזויף, ושם נכנס החשבון. "פושעים מקוונים יכולים להשתמש בטכניקות 'איש באמצע' כדי לתפוס את קוד הסיסמה בן שש הספרות לצד הסיסמה ושם המשתמש שלך אם הם נקבעים, " אמר קלולי.

אינך יכול להגן על כל חשבונותיך

אם יש לך מספר חשבונות, עליך לבחור איזה חשבון הוא החשוב ביותר ולהגן עליו, מכיוון שטוויטר מגבילה טלפון אחד לחשבון אחד. "למרות שזה בהחלט יותר טוב מכלום, זה עשוי לעזור לאחוז קטן למדי מבסיס המשתמשים של טוויטר", כתבה ליזה מאיירס של אינטגו בבלוג האבטחה של מק.

אם טוויטר באמת רוצה למנוע ממשתמשים להפיץ תוכנות זדוניות, "אימות דו-גורמי צריך להתרחש בתדירות גבוהה יותר, למשל, בכל פעם שמשתמש בטוויטר הולך לפרסם ציוץ", אמר ישי יובל, סגן נשיא השיווק ב- Trusteer, ל- SecurityWatch . תוכנה זדונית יכולה להמתין ולפרסם הודעות זדוניות לאחר כניסת המשתמש, הוא אמר.

אפילו עם המגבלות, קדימה הפעל את שכבת האבטחה כשאתה מקבל אותה. אך חנכו את עצמכם ואת כל מי שסביבכם כיצד לזהות דיוג, בחרו סיסמאות חזקות ובעצם, נשארו ערניים.

כפי שאמרו המאיירס של אינטגו, האימות הדו-גורמי של טוויטר טוב מכלום. אבל עדיין לא ממש משתמשים בה הרבה משתמשים וארגונים.