Vidéo: Satisfying Video l Kinetic Sand Nail Polish Foot Cutting ASMR #7 Rainbow ToyTocToc (Novembre 2024)
Au pays du " si seulement… " Si Associated Press avait mis en place une authentification à deux facteurs avec son compte Twitter, les pirates pro-syriens n'auraient pas été en mesure de détourner le compte et de faire des ravages.
Belle idée bien rangée, mais en réalité non. L’authentification à deux facteurs est un outil puissant pour la sécurisation des comptes d’utilisateur, mais elle ne peut pas résoudre tous les problèmes. Avoir deux facteurs n'aurait pas aidé @AP car les pirates informatiques ont fait irruption par une attaque de phishing. Les adversaires trouveraient simplement un autre moyen d'inciter les utilisateurs à contourner la couche de sécurité, a déclaré Aaron Higbee, CTO de PhishMe.
Mardi, des pirates informatiques pro-syriens ont détourné le compte Twitter de l'AP et publié une fausse alerte, affirmant qu'une explosion à la Maison-Blanche avait eu lieu et que le président avait été blessé. Trois ou quatre minutes avant que les membres du personnel de l'AP ne découvrent ce qui s'était passé et disaient que cette histoire était fausse, les investisseurs ont paniqué et ont fait chuter la moyenne de Dow Jones Industrial à plus de 148 points. Bloomberg News a estimé que cet écart avait été "balayé" par 136 milliards de dollars de l'indice S & P 500.
De manière prévisible, un certain nombre d'experts en sécurité ont immédiatement reproché à Twitter de ne pas proposer d'authentification à deux facteurs. "Twitter a vraiment besoin que l'authentification à deux facteurs soit déployée rapidement. Ils sont très en retard sur le marché", a déclaré Andrew Storms, directeur des opérations de sécurité chez nCircle, dans un courriel.
Groupes vs comptes individuels
L'authentification à deux facteurs empêche les attaquants de détourner des comptes d'utilisateurs à l'aide de méthodes brutales ou de voler des mots de passe via des méthodes d'ingénierie sociale. Cela suppose également qu’il n’ya qu’un seul utilisateur par compte.
"L'authentification à deux facteurs et d'autres mesures aideront à réduire le piratage des comptes individuels. Mais pas des comptes de groupe", a déclaré à SecurityWatch Sean Sullivan, chercheur en sécurité chez F-Secure.
Comme beaucoup d’autres organisations, AP avait probablement plusieurs employés postés sur @AP tout au long de la journée. Que se passerait-il à chaque fois que quelqu'un essaierait de publier sur Twitter? Chaque tentative de connexion nécessite que la personne qui possède le périphérique enregistré, qu'il s'agisse d'un smartphone ou d'un jeton matériel, fournisse le code du second facteur. Selon le mécanisme en place, il peut s’agir d’un jour, de quelques jours ou chaque fois qu’un nouveau périphérique est ajouté.
"Cela devient un obstacle majeur à la productivité", a déclaré Jim Fenton, CSO de OneID, à SecurityWatch .
Dites que je veux poster sur @SecurityWatch. Il me faudrait soit la messagerie instantanée, soit appeler mon collègue qui "possédait" le compte pour obtenir le code à deux facteurs. Ou je n'ai pas eu besoin de me connecter pendant 30 jours car mon ordinateur portable était un appareil autorisé, mais c'est maintenant le 31ème jour. Et le week-end Imaginez les champs de mines d'ingénierie sociale potentiels.
"En termes simples, une authentification à deux facteurs ne suffira pas à protéger les personnes", a déclaré Sullivan.
L'authentification à deux facteurs n'est pas une panacée
L'authentification à deux facteurs est une bonne chose, un outil puissant, mais elle ne peut pas tout faire, comme empêcher les attaques de phishing, a déclaré Fenton. En fait, avec les solutions d’authentification communes à deux facteurs, les utilisateurs peuvent facilement être amenés à authentifier l’accès sans s’en rendre compte, a déclaré Fenton.
Imaginez si j'avais envoyé un texto à mon patron: Impossible de se connecter à @securitywatch. M'envoyer un code?
L'authentification à deux facteurs rend plus difficile l'hameçonnage d'un compte, mais n'empêche pas l'attaque de réussir, a déclaré Higbee de PhishMe. Sur le blog de la société, PhishMe a montré comment l'hameçonnage, en contournant deux facteurs, ne fait que rétrécir la fenêtre d'attaque.
Tout d'abord, l'utilisateur clique sur un lien dans un courrier électronique de phishing, atterrit sur une page de connexion, puis entre le mot de passe correct et le code à deux facteurs valide sur le faux site Web. À ce stade, l'attaquant doit simplement se connecter avant l'expiration des informations de connexion valides. Les organisations qui utilisent des jetons RSA peuvent régénérer un code toutes les 30 secondes, mais pour un site de réseau social, le délai d'expiration peut être de plusieurs heures, voire plusieurs jours.
"Cela ne veut pas dire que Twitter ne devrait pas implémenter une couche d'authentification plus robuste, mais cela pose également la question de savoir jusqu'où doit-elle aller?" Higbee a ajouté que Twitter n’était pas conçu à l’origine pour un usage en groupe.
Les réinitialisations sont un problème plus grave
La mise en œuvre d'une authentification à deux facteurs au niveau de la porte d'entrée ne signifie pas un accrochage si la porte arrière est verrouillée de manière fragile - un processus de réinitialisation de mot de passe faible. L'utilisation de secrets partagés, tels que le nom de jeune fille de votre mère, pour créer et récupérer un accès à un compte "est le talon d'Achille des pratiques d'authentification actuelles", a déclaré Fenton.
Lorsque l'attaquant connaît le nom d'utilisateur, la réinitialisation du mot de passe consiste simplement à intercepter le courrier électronique de réinitialisation. Cela peut signifier une intrusion dans le compte de messagerie, ce qui peut très bien arriver.
Bien que les questions relatives aux indices de mot de passe aient leurs propres problèmes, Twitter ne les propose même pas dans le cadre de son processus de réinitialisation. Tout le monde a besoin, c'est le nom d'utilisateur. Bien qu'il existe une option permettant de "demander des informations personnelles pour réinitialiser mon mot de passe", les seules informations supplémentaires requises sont les adresses électroniques et le numéro de téléphone facilement accessibles.
"Les comptes Twitter vont continuer à être piratés, et Twitter doit faire plusieurs choses pour protéger ses utilisateurs - pas seulement à deux facteurs", a déclaré Sullivan.
