비디오: What is stan twitter (십월 2024)
AP 통신이 트위터 계정으로 2 단계 인증을 설정했다면 시리아 해커들이 계정을 가로 채서 혼란을 일으킬 수 없었을 것이다.
멋지고 깔끔한 아이디어이지만 실제로는 아닙니다. 이중 인증은 사용자 계정 보안을위한 강력한 도구이지만 모든 문제를 해결할 수는 없습니다. 해커가 피싱 공격을 통해 침입했기 때문에 2 단계 요인이 @AP에 도움이되지 않았을 것입니다. PhishMe의 CTO 인 Aaron Higbee는 사용자들은 보안 계층을 우회하도록 사용자를 속일 수있는 또 다른 방법을 찾고 있다고 말했다.
화요일에 시리아의 친 해커들은 AP 트위터 계정을 가로 채서 백악관에서 폭발이 일어나고 대통령이 부상 당했다는 가짜 뉴스 경고를 게시했습니다. AP 직원들이 무슨 일이 일어 났는지 파악하고 그 이야기가 허위라고 말하기 3-4 분 전, 투자자들은 당황하여 Dow Jones Industrial 평균이 148 점 이상으로 떨어졌습니다. Bloomberg News는 S & P 500 지수에서 하락한 1, 136 억 달러를 추정했습니다.
예상대로 많은 보안 전문가들이 트위터에 2 단계 인증을 제공하지 않았다고 비난했습니다. nCircle의 보안 운영 책임자 인 Andrew Storms는 "Twitter는 실제로 이중 인증을 신속하게 출시해야합니다. 시장에서 뒤처져 있습니다."라고 이메일을 통해 말했습니다.
그룹 및 개인 계정
2 단계 인증은 공격자가 무차별 대입 방법을 사용하거나 사회 공학 방법을 통해 암호를 훔치는 사용자 계정을 가로채는 것을 어렵게합니다. 또한 계정 당 한 명의 사용자 만 있다고 가정합니다.
F-Secure의 보안 연구원 인 Sean Sullivan은 "2 단계 인증 및 기타 조치는 개별 계정에 대한 해킹을 줄이는 데 도움이되지만 그룹 계정은 아닙니다."라고 SecurityWatch 에 말했습니다.
AP는 다른 많은 조직과 마찬가지로 하루 종일 여러 직원이 @AP에 게시했을 수 있습니다. 누군가 트위터에 글을 올리려고하면 어떻게 되나요? 모든 로그인 시도는 스마트 폰이든 하드웨어 토큰이든 등록 된 장치를 가진 사람이 2 단계 코드를 제공해야합니다. 적절한 메커니즘에 따라 매일, 며칠마다 또는 새 장치를 추가 할 때마다있을 수 있습니다.
OneID의 CSO 인 Jim Fenton은 SecurityWatch에 "생산성에있어 상당한 장애물이되고있다"고 말했다.
@SecurityWatch에 게시하고 싶다고 가정 해보십시오. 계정을 "소유"한 동료에게 전화를 걸어 2 단계 코드를 가져와야합니다. 또는 랩톱이 인증 된 장치이기 때문에 30 일 동안 로그인하지 않아도되었지만 이제는 31 일입니다. 그리고 주말. 잠재적 인 사회 공학 지뢰밭을 상상해보십시오.
설리반은 "간단히 말하면 2 단계 인증으로는 사람들을 보호하기에 충분하지 않을 것"이라고 말했다.
완전한 요소가 아닌 2 단계 인증
펜톤은 2 단계 인증은 강력한 도구이지만 좋은 방법이지만 피싱 공격 방지와 같은 모든 것을 할 수는 없다고 말했다. 실제로, 일반적인 2 단계 인증 솔루션 하에서 사용자는 액세스를 실현하지 않고도 액세스 인증에 쉽게 속일 수 있다고 Fenton은 말했다.
상사에게 문자 메시지를 보낸 경우 @securitywatch에 로그인 할 수 없습니다. 나에게 코드를 보내?
PhishMe의 Higbee는 2 단계 인증은 계정을 피싱하기 어렵게하지만 공격이 성공하는 것을 막지는 못한다고 말했다. 회사 블로그에서 PhishMe는 피싱이 2 단계를 우회하여 공격 범위를 좁히는 방법을 설명했습니다.
먼저, 사용자는 피싱 이메일의 링크를 클릭하고 로그인 페이지를 방문한 다음 가짜 웹 사이트에 올바른 비밀번호와 유효한 2 단계 코드를 입력합니다. 이 시점에서 공격자는 유효한 로그인 자격 증명이 만료되기 전에 로그인해야합니다. RSA 토큰을 사용하는 조직은 30 초마다 코드를 재생성 할 수 있지만 소셜 미디어 사이트의 경우 만료 시간은 몇 시간 또는 며칠이 걸릴 수 있습니다.
"이것은 트위터가 더 강력한 인증 계층을 구현해서는 안된다는 말이 아니라, 얼마나 멀리 가야하는지에 대한 의문을 제기 하는가?" Higbee는 트위터가 원래 그룹 용으로 설계된 것이 아니라고 덧붙였다.
리셋은 더 큰 문제입니다
정문에서 2 단계 인증을 구현한다고해서 백도어에 약한 암호 재설정 프로세스 인 약한 잠금 장치가있는 경우 스쿼트를 의미하지는 않습니다. Fenton은 "어머니의 성명과 같은 공유 비밀을 사용하여 계정 액세스를 생성하고 복구하는 것이 오늘날의 인증 방식의 Achilles Heel"이라고 말했습니다.
공격자가 사용자 이름을 알면 암호 재설정은 재설정 이메일을 가로 채기 만하면됩니다. 이것은 이메일 계정에 침입하는 것을 의미 할 수 있으며, 이는 매우 잘 일어날 수 있습니다.
비밀번호 힌트 질문에는 자체 문제가 있지만 Twitter는 재설정 프로세스의 일부로 제공하지도 않습니다. 누구나 필요한 것은 사용자 이름입니다. "비밀번호를 재설정하기 위해 개인 정보를 요구"하는 옵션이 있지만 필요한 추가 정보는 쉽게 얻을 수있는 이메일 주소와 전화 번호뿐입니다.
설리반은 "트위터 계정은 계속해서 해킹 당할 것이며 트위터는 사용자를 보호하기 위해 몇 가지 일을해야한다"고 말했다.
