Video: Zwei-Faktor-Authentifizierung einfach erklärt (Dezember 2024)
Zweistufiges Twitter-Programm
Fragen Sie Josh Alexander, CEO des Authentifizierungsunternehmens Toopher, wie Sie jetzt, da die Zwei-Faktor-Authentifizierung eingerichtet ist, Twitter hacken würden. Er wird Ihnen sagen, dass Sie es genauso tun, wie Sie es vor dem Aufkommen der Zwei-Faktor-Authentifizierung getan haben.
In einem kurzen, kuriosen Video über die Zwei-Faktor-Authentifizierung von Twitter gratuliert Alexander Twitter, dass er sich einem "Zwei-Schritte-Sicherheitsprogramm" angeschlossen und den ersten Schritt unternommen hat, indem er ein Problem zugibt. Anschließend zeigt er, wie wenig die SMS-basierte Zwei-Faktor-Authentifizierung hilft. "Ihre neue Lösung lässt die Tür offen", sagte Alexander, "für dieselben Man-in-the-Middle-Angriffe, die den Ruf der wichtigsten Nachrichtenquellen und Prominenten gefährdet haben."
Der Prozess beginnt damit, dass ein Hacker eine überzeugende E-Mail sendet, in der er mich auffordert, mein Twitter-Passwort zu ändern, sowie einen Link zu einer gefälschten Twitter-Website. Sobald ich dies tue, verwendet der Hacker meine erfassten Anmeldeinformationen, um eine Verbindung mit dem echten Twitter herzustellen. Twitter sendet mir einen Bestätigungscode und ich gebe ihn ein, um ihn dem Hacker zu geben. Zu diesem Zeitpunkt ist das Konto pwned. Sehen Sie sich das Video an - es zeigt den Vorgang sehr deutlich.
Kein Wunder, dass Toopher eine andere Art der Smartphone-basierten Zwei-Faktor-Authentifizierung anbietet. Die Toopher-Lösung verfolgt Ihre gewohnten Standorte und gewohnten Aktivitäten und kann so eingestellt werden, dass gewohnte Transaktionen automatisch genehmigt werden. Anstatt Ihnen einen Code zum Abschließen einer Transaktion zu senden, wird eine Push-Benachrichtigung mit Details zu der Transaktion gesendet, einschließlich des Benutzernamens, der Site und des beteiligten Computers. Ich habe es nicht getestet, aber es sieht vernünftig aus.
Vermeiden Sie eine Zwei-Faktoren-Übernahme
Der Sicherheitsrockstar Mikko Hypponnen von F-Secure sieht ein noch schlimmeres Szenario. Wenn Sie die Zwei-Faktor-Authentifizierung nicht aktiviert haben, kann ein Angreifer, der Zugriff auf Ihr Konto erhält, diese mithilfe seines eigenen Telefons für Sie einrichten.
In einem Blogbeitrag weist Hypponen darauf hin, dass Sie, wenn Sie jemals Tweets per SMS senden, bereits eine Telefonnummer mit Ihrem Konto verknüpft haben. Es ist leicht, diese Assoziation zu stoppen. Schreiben Sie einfach STOP an die Twitter-Kurzwahl für Ihr Land. Beachten Sie jedoch, dass dadurch auch die Zwei-Faktor-Authentifizierung angehalten wird. Das Senden von GO schaltet es wieder ein.
Vor diesem Hintergrund stellt Hypponen eine beängstigende Abfolge von Ereignissen auf. Zunächst erhält der Hacker Zugriff auf Ihr Konto, möglicherweise über eine Spear-Phishing-Nachricht. Anschließend konfiguriert er Ihr Konto, indem er GO von seinem eigenen Telefon aus eine SMS an den entsprechenden Funktionscode sendet und einige Anweisungen befolgt, damit der Zwei-Faktor-Authentifizierungscode auf sein Telefon gelangt. Du bist ausgesperrt.
Diese Technik funktioniert nicht, wenn Sie bereits die Zwei-Faktor-Authentifizierung aktiviert haben. "Vielleicht sollten Sie die 2FA Ihres Kontos aktivieren", schlug Hypponen vor, "bevor es jemand anderes für Sie tut." Es ist mir nicht ganz klar, warum der Angreifer SMS-Spoofing nicht verwenden konnte, um die Zwei-Faktor-Authentifizierung zu stoppen und dann mit dem Angriff fortzufahren. Könnte ich paranoider sein als Mikko?