Нарушаването на паролата учи Reddit, че да, телефонен 2FA е толкова лошо

„НарушаванетоEnlargeMisaochan

Ново разкрито нарушение, което открадна данните за паролата и лични съобщенията преподават на служителите на Reddit урок, че сигурността професионалисти се познават от години: двуфакторно удостоверяване (2FA) който използва SMS или телефонни обаждания е само малко по-добър от не 2FAа всички.

В публикация, публикувана в сряда, Reddit заяви, че нападател е нарушил няколко сметки на служителите в средата на юни. Тогава нападателят получи достъп до a пълно копие на данните за архивиране, които обхващат от стартирането на сайта 2005 до май 2007 г. Данните включват криптографски осолени и хеширани данни за паролата от този период, заедно със съответните потребителски имена, имейл адреси и цялото потребителско съдържание, включително лични съобщения. Нападателят получи и имейл дайджест, който бяха изпратени между 3 и 17 юни тази година. Тези усвоявания включени потребителски имена и свързания с тях имейл адрес, заедно с Предложените от Reddit публикации от потребители на subreddits за безопасна работа абонирани за.

Допълнителна информация

Главният технолог на FTC получава нейния номер на мобилен телефон, отвлечен от Крадецът на идентификационния номер в публикацията в сряда се казва, че нарушените профили на служителите бяха защитени от 2FA, което обикновено изисква хората да вземат допълнителна стъпка отвъд въвеждането на парола при достъп до акаунт от нов компютър. В повечето случаи допълнителната стъпка е влизането на еднократна парола (OTP), изпратена или генерирана от мобилен телефон. Още по-сигурен, 2FAis под формата на a криптографски маркер, изпратен от защитен ключ, прикрепен към устройство влизане. 2FA защита на акаунти в Reddit, обаче, разчитат на OTP, изпратени чрез SMS съобщения, въпреки докладите над години (като тази), което прави ясно, че са податливи на прихващане.

Училище за твърди удари

„Вече имаме основни точки за достъп за код и инфраструктура зад силното удостоверяване, изискващо двуфактор удостоверяване (2fa), научихме, че удостоверяването на базата на SMS е не е толкова сигурен, колкото бихме се надявали, и основната атака беше чрез SMS прихващане ”, написаха служители на Reddit. „Ние посочваме това насърчавайте всички тук да преминат към 2fa базирана на маркери. ”

Предаваните чрез SMS OTP са податливи на различни атаки. Единият е, като често се контролира номерът на мобилния телефон на целта като се обадите на мобилния оператор или отидете в магазин на дребно на доставчикът и се представя за абоната. През 2016 г. гл технически служител на Федералната комисия по търговия на САЩ я имаше номер отвлечен по този начин. В други случаи прихващането е резултат от компрометиране на мобилния акаунт, защото е защитен от парола, която абонатът използва в друг сайт, който беше нарушено. Останалите други прихващания са резултат от експлоатацията десетилетни слабости в протокола за маршрутизиране на SS7, който носят по целия свят използват за осигуряване на взаимодействие на техните мрежи. еднократни пароли също са уязвими към фишинг и атаки в социалния инженеринг, както стига нападателите въвеждат кодовете бързо след получаване тях.

През последните няколко години от 2FAha, базирани на SMS, отпаднаха в полза, тъй като все повече хора са приели мобилни приложения, като Google Удостоверител или Duo, които генериратOTP. Тази форма на 2FA е по-добър от SMS, но все още е потенциално недостатък защото OTP могат да бъдат фиширани или получени чрез социално инженерство. При по-целенасочени и усъвършенствани атаки мобилният телефон може също са заразени със злонамерен софтуер.

Допълнителна информация

Това евтино устройство може би е най-добрата надежда в света срещу акаунта поглъщанияИ много по-здрав механизъм за осигуряване на 2FA е този използване на физически ключове за защита, които се свързват директно към компютъра се използва за влизане. След като потребителят въведе правилната парола, сайтове, които са конфигурирани да поддържат маркери за сигурност, ще изискват лицето, което да натисне бутон на устройството. Криптографски ключ след това вградено в устройството след това изпраща код, който предоставя второто форма на удостоверяване. Тази форма на удостоверяване е много по-добра към SMS- и дори с приложение с 2FA, тъй като тайната не може да бъде фиширани, разкрити или прихващани. (Атака, разкрита през март който използва функция за Chrome, за да подмами потребителите да разкрият тайната материал на техните физически ключове вече не работи.)

Резултатът от всичко това е, че базираната на SMS 2FA е по-добра отколкото не 2FAа всички, но само минимално. Сайтове, които позволяват по-силните форми на 2FAbut предлагат SMS- или базирани на разговори 2FAas резервен резерв трябва да забележи. Междинното подобрение е да използвайте приложения, базирани на телефон, без връщане към SMS. Най-превъзходният форми на 2FA, които са жизнеспособни, сега включват физически символи с не използвайте OTP или, ако това се счита за твърде трудно за потребителите, OTP, генерирани само от приложения. Практикуващите охрана са били проповядвайки това евангелие от години. Постът на Reddit демонстрира това хората, които би трябвало да знаят по-добре, не винаги внимават за това съвети.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: