Video: cara mengatasi fb terkunci autentikasi dua facktor (Desember 2024)
Program Dua Langkah Twitter
Tanyakan Josh Alexander, CEO perusahaan otentikasi Toopher, bagaimana Anda akan meretas Twitter sekarang setelah otentikasi dua faktor sudah ada. Dia akan memberi tahu Anda bahwa Anda melakukannya persis seperti yang Anda lakukan sebelum munculnya otentikasi dua faktor.
Dalam sebuah video pendek dan lucu tentang otentikasi dua faktor Twitter, Alexander mengucapkan selamat kepada Twitter karena bergabung dengan "program dua langkah keamanan" dan mengambil langkah pertama, mengakui ada masalah. Dia kemudian melanjutkan untuk menggambarkan betapa sedikit otentikasi dua faktor berbasis SMS membantu. "Solusi baru Anda membuat pintu terbuka lebar, " kata Alexander, "untuk serangan pria-di-tengah yang sama yang membahayakan reputasi sumber-sumber berita utama dan selebritas."
Prosesnya dimulai dengan seorang hacker mengirim email yang meyakinkan, sebuah pesan yang menyarankan saya untuk mengubah kata sandi Twitter saya, dengan tautan ke situs Twitter palsu. Setelah saya melakukannya, hacker menggunakan kredensial login saya yang ditangkap untuk terhubung dengan Twitter asli. Twitter mengirimi saya kode verifikasi dan saya memasukkannya, sehingga memberikannya kepada peretas. Pada titik ini akun sudah di-pwned. Tonton videonya - ini menunjukkan prosesnya dengan sangat jelas.
Tidak mengherankan jika Toopher menawarkan jenis otentikasi dua faktor berbasis smartphone yang berbeda. Solusi Toopher melacak lokasi biasa Anda dan aktivitas biasa, dan dapat diatur untuk secara otomatis menyetujui transaksi biasa. Alih-alih mengirimi Anda kode untuk menyelesaikan transaksi, alih-alih mengirimkan pemberitahuan push dengan detail transaksi termasuk nama pengguna, situs, dan penghitungan yang terlibat. Saya belum mengujinya, tetapi terlihat masuk akal.
Hindari Pengambilalihan Dua Faktor
Security rockstar Mikko Hypponnen dari F-Secure menempatkan skenario yang lebih mengerikan. Jika Anda belum mengaktifkan otentikasi dua faktor, faktor pria yang mendapatkan akses ke akun Anda dapat mengaturnya untuk Anda, menggunakan teleponnya sendiri.
Dalam sebuah posting blog, Hypponen menunjukkan bahwa jika Anda pernah mengirim tweet melalui SMS, Anda sudah memiliki nomor telepon yang terkait dengan akun Anda. Mudah untuk menghentikan asosiasi itu; cukup ketik STOP ke kode pendek Twitter untuk negara Anda. Namun, perhatikan bahwa hal itu juga menghentikan otentikasi dua faktor. Mengirim GO menyalakannya lagi.
Dengan pemikiran ini, Hypponen menempatkan urutan peristiwa yang menakutkan. Pertama, peretas mendapatkan akses ke akun Anda, mungkin melalui pesan phishing tombak. Kemudian, dengan mengirim pesan teks GO dari teleponnya sendiri ke kode pendek yang sesuai dan mengikuti beberapa petunjuk, dia mengkonfigurasi akun Anda sehingga kode otentikasi dua faktor masuk ke teleponnya. Anda dikunci.
Teknik ini tidak akan berfungsi jika Anda sudah mengaktifkan otentikasi dua faktor. "Mungkin Anda harus mengaktifkan 2FA akun Anda, " saran Hypponen, "sebelum orang lain melakukannya untuk Anda." Tidak sepenuhnya jelas bagi saya mengapa penyerang tidak bisa pertama kali menggunakan spoofing SMS untuk BERHENTI otentikasi dua faktor dan kemudian melanjutkan dengan serangan itu. Bisakah aku lebih paranoid daripada Mikko?