וִידֵאוֹ: Jogo hoquei em patins AAEspinho -USCParedes (נוֹבֶמבֶּר 2024)
מארץ " ולו רק… " אם סוכנות הידיעות AP הייתה מקימה אימות דו-גורמי באמצעות חשבון הטוויטר שלה, אז ההאקרים הפרו-סוריים לא היו מצליחים לחטוף את החשבון ולעורר הרס.
רעיון נחמד ומסודר, אבל במציאות, לא. אמנם אימות דו-גורמי הוא כלי רב עוצמה לאבטחת חשבונות משתמשים, אך הוא אינו יכול לפתור את כל הבעיות. קבלת שני גורמים לא הייתה עוזרת ל- @AP מכיוון שההאקרים פרצו דרך מתקפת דיוג. יריבים פשוט ימצאו דרך אחרת להערים על המשתמשים לעקוף את שכבת האבטחה, אמר אהרון היגבי, סמנכ"ל הכספים של PhishMe.
ביום שלישי, האקרים פרו-סורים חטפו את חשבון ה- Twitter בטוויטר AP ופרסמו אזעקת חדשות מזויפת בטענה פיצוץ בבית הלבן וכי הנשיא נפצע. בשלוש-ארבע הדקות שלפני עובדי AP הבינו מה קרה ואמרו שהסיפור היה שקרי, המשקיעים נבהלו וגרמו לממוצע התעשייה של דאו ג'ונס לצלול מעל 148 נקודות. בלומברג ניוז העריך כי הירידה "מחקה" 136 מיליארד דולר ממדד S&P 500.
כצפוי, מספר מומחי אבטחה מתחו ביקורת מיידית על טוויטר על כך שלא הציעו אימות דו-גורמי. אנדרו סטורמס, מנהל תחום פעולות האבטחה ב- nCircle, אמר כי "טוויטר באמת צריך לקבל אימות דו-גורמי במהירות. הם נמצאים הרחק מאחורי השוק בנושא זה.
קבוצות לעומת חשבונות בודדים
אימות דו-גורמי מקשה על התוקפים לחטוף חשבונות משתמשים בשיטות כוח ברוטה, או גניבת סיסמאות בשיטות הנדסה חברתית. זה גם מניח שיש רק משתמש אחד לכל חשבון.
שון סאליבן, חוקר אבטחה בחברת F-Secure, אמר ל- SecurityWatch: "אימות דו-גורמי ואמצעים אחרים יסייעו בהפחתת פריצות בחשבונות בודדים. אך לא חשבונות קבוצתיים.
ל- AP, בדומה להרבה ארגונים אחרים, היו עובדים מרובים שפרסמו ל- @AP במהלך היום. מה יקרה בכל פעם שמישהו ינסה לפרסם בטוויטר? כל ניסיון כניסה מחייב את מי שיש לו את המכשיר הרשום, בין אם זה סמארטפון או אסימון חומרה, לספק את הקוד הגורם השני. בהתאם למנגנון הקיים, זה יכול להיות בכל יום, כל כמה ימים, או בכל פעם שמוסיפים מכשיר חדש.
"זה הופך לחסימה משמעותית למדי לפרודוקטיביות, " אמר ג'ים פנטון, מנהל תחום המשרד ב- OneID, ל- SecurityWatch .
נניח שאני רוצה לפרסם ב- @ SecurityWatch. אני צריך להזמין צ'אט או להתקשר לעמיתי ש"בעלות "על החשבון כדי לקבל את קוד הדו-גורמים. או שלא הייתי צריך להתחבר למשך 30 יום מכיוון שהמחשב הנייד שלי היה מכשיר מורשה, אבל עכשיו זה היום ה -31. וסוף השבוע. דמיין את שדות המכרות ההנדסיים החברתיים הפוטנציאליים שלך.
"במילים פשוטות, אימות דו-גורמי לא יספיק כדי להגן על אנשים, " אמר סאליבן.
אימות דו-גורמי אינו מרפא הכל
אימות דו-גורמי הוא דבר טוב, כלי רב עוצמה, אך הוא אינו יכול לעשות הכל, כגון מניעת התקפות דיוג, אמר פנטון. למעשה, תחת פתרונות אימות דו-גורמים נפוצים, משתמשים יכולים בקלות להערים על גישה לאימות מבלי שיבינו זאת, אמר פנטון.
תאר לעצמך אם הייתי מסר את הבוס שלי: איני יכול להתחבר ל- @ securitywatch. לשלוח לי קוד?
אימות דו-גורמי מקשה על פיניש חשבון, אך אינו מונע את ההתקפה להצליח, אמר Higbee של PhishMe. בבלוג של החברה, PhishMe המחיש כיצד דיוג שעוקף את שני הגורמים פשוט מצמצם את חלון ההתקפה.
ראשית, המשתמש לוחץ על קישור בהודעת דיוג, נוחת בדף כניסה ומזין את הסיסמה הנכונה וקוד דו-גורמי תקף באתר המזויף. בשלב זה, התוקף פשוט צריך להתחבר לפני שתוקפו של אישורי הכניסה התקפים. ארגונים המשתמשים באסימוני RSA עשויים לחדש קוד כל 30 שניות, אך עבור אתר מדיה חברתית, תקופת התפוגה עשויה להיות במרחק של מספר שעות, או ימים.
"זה לא אומר שטוויטר לא אמור ליישם רובד אימות חזק יותר, אבל זה גם מעלה את השאלה עד כמה רחוק צריך ללכת?" היגבי אמר והוסיף כי טוויטר לא תוכנן במקור לשימוש קבוצתי.
איפוסים הם בעיה גדולה יותר
יישום אימות דו-גורמי בדלת הכניסה לא אומר פירוש אם לדלת האחורית יש נעילה רופפת - תהליך איפוס סיסמא חלש. השימוש בסודות משותפים, כמו שם הנעורים של אמך, כדי ליצור ולשחזר גישה לחשבון "הוא עקב אכילס של נוהלי האימות של ימינו", אמר פנטון.
כאשר התוקף יודע את שם המשתמש, איפוס סיסמא הוא רק עניין ליירט את דוא"ל האיפוס. פירוש הדבר יכול להיות פריצה לחשבון הדוא"ל, וזה יכול מאוד לקרות.
בעוד שלשאלות עם רמז לסיסמאות יש בעיות משלהם, טוויטר אפילו לא מציעה אותם כחלק מתהליך האיפוס שלה. כל מה שצריך זה שם המשתמש. אמנם קיימת אפשרות "לדרוש מידע אישי כדי לאפס את הסיסמה שלי", אך המידע הנוסף היחיד הנדרש הוא כתובות הדוא"ל ומספר הטלפון שניתן להשיג בקלות.
סאליבן אמר כי "חשבונות טוויטר ימשיכו להיפרץ. טוויטר צריכה לעשות כמה דברים כדי להגן על המשתמשים שלה - לא רק עם שני גורמים".