视频: JAGPAL SANDHU- SONG - JATT [ Official Video 2012-13 ] - Latest Punjabi Song (十一月 2024)
如果 “美联社”使用其Twitter帐户设置了两因素身份验证,那么亲叙利亚的黑客将无法劫持该帐户并造成严重破坏。
好主意,但实际上不行。 虽然两因素身份验证是用于保护用户帐户的强大工具,但它不能解决所有问题。 拥有两个因素对@AP毫无帮助,因为黑客通过网络钓鱼攻击闯入了。 PhishMe的首席技术官Aaron Higbee说,攻击者只会找到另一种诱使用户绕过安全层的方法。
周二,亲叙利亚的黑客劫持了AP Twitter帐户,并发布了一个虚假的新闻警报,声称在白宫发生爆炸,总统受伤了。 在美联社工作人员弄清楚发生了什么并说这个故事是虚假的三到四分钟后,投资者感到恐慌,导致道琼斯工业平均指数暴跌了148点。 彭博社(Bloomberg News)估计,标准普尔500指数的跌幅“抹去”了1360亿美元。
可以预见,许多安全专家立即批评Twitter不提供两因素身份验证。 nCircle安全运营总监安德鲁·斯托姆斯(Andrew Storms)在电子邮件中说:“ Twitter确实确实需要快速推出两因素身份验证。在这方面,它们远远落后于市场。”
组与个人帐户
两因素身份验证使攻击者更难使用蛮力方法劫持用户帐户,或通过社交工程方法窃取密码。 它还假定每个帐户只有一个用户。
F-Secure的安全研究员肖恩·沙利文(Sean Sullivan)表示:“两因素身份验证和其他措施将有助于减少针对个人帐户的攻击,但不能减少针对团体帐户的攻击。”
与许多其他组织一样,AP可能有多名员工在一整天内发布到@AP。 每当有人尝试发布到Twitter时会发生什么? 每次登录尝试都要求拥有注册设备的人(无论是智能手机还是硬件令牌)提供第二因素代码。 根据使用的机制,可能是每天,每隔几天,或者每当添加新设备时。
OneID的CSO吉姆·芬顿(Jim Fenton)告诉 SecurityWatch: “这成为提高生产力的重要障碍。”
假设我要发布到@SecurityWatch。 我必须要IM或致电“拥有”该帐户的同事才能获得两因素代码。 或者,因为笔记本电脑是授权设备,所以我不必登录30天,但是现在是31日。 还有周末。 想象一下潜在的社会工程雷区。
沙利文说:“简单地说,两因素身份验证不足以保护人们。”
两要素身份验证并非万能药
Fenton说,双重身份验证是一件好事,一个功能强大的工具,但是它不能做所有事情,例如防止网络钓鱼攻击。 Fenton说,实际上,在常见的两因素身份验证解决方案下,用户很容易被诱使对其进行身份验证,而无需意识到这一点。
想象一下,如果我要给老板发短信:无法登录@securitywatch。 给我发代码吗?
PhishMe的Higbee说,双重身份验证使网络钓鱼更加困难,但是并不能阻止攻击成功。 在公司博客上,PhishMe说明了绕过两因素的网络钓鱼如何缩小攻击窗口。
首先,用户单击网络钓鱼电子邮件中的链接,进入登录页面,然后在虚假网站上输入正确的密码和有效的两因素代码。 此时,攻击者只需在有效的登录凭据到期之前登录即可。 使用RSA令牌的组织可以每30秒重新生成一个代码,但是对于社交媒体网站而言,有效期可能要数小时或数天。
“这并不是说Twitter不应该实施更强大的身份验证层,但是这也引出了应该走多远的问题?” Higbee说,并补充说Twitter最初并不是为团体使用而设计的。
重置是一个更大的问题
如果后门的锁很脆弱,则在前门实施两因素身份验证并不意味着蹲下-弱的密码重置过程。 Fenton说,使用共享的秘密(例如您母亲的娘家姓)来创建和恢复帐户访问权限,“是当今身份验证实践的致命弱点”。
当攻击者知道用户名时,密码重置仅是拦截重置电子邮件的问题。 这可能意味着侵入电子邮件帐户,这很可能会发生。
尽管密码提示问题有其自身的问题,但Twitter甚至不提供它们作为重置过程的一部分。 任何人都需要的是用户名。 虽然可以选择“要求个人信息以重设我的密码”,但是唯一需要的额外信息是易于获得的电子邮件地址和电话号码。
沙利文说:“推特帐户将继续遭到黑客攻击,推特需要采取几项措施来保护其用户-不仅仅是两个因素。”