Mellékleteink: HUP | Gamekapocs
Keres

Kétlépcsős azonosításra vált a Twitter is

Dojcsák Dániel, 2013. február 05. 15:35
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Egyre több webes és cloud szolgáltató menekül a kétlépcsős azonosításba, miután hackerek tömegével szereznek meg felhasználóktól jelszavakat és élnek vissza azokkal. A fiókok feltörése egyre nagyobb károkat képes okozni.

Tizenöt évvel ezelőtt, ha valakinek ellopták a Windows-fiókját vagy ha feltörték a dial-up jelszavát, az is kellemetlen volt, de nem lehetett igazán nagy ívű visszaéléseket produkálni egyrészt a hálózatok korlátai, másrészt a tárolt adatok szűkös mennyisége miatt. Ma azonban az eszköz helyett felhasználóközpontú megközelítés miatt már minden másképp van. A Google évek óta elkezdte szigorítani a belépési protokolljait, nemrégiben a Dropbox elégelte meg, hogy felhasználói sorozatos támadások áldozatai, most pedig a Twitter csatlakozott a kétlépcsős azonosítást választók klubjához.

Kell a nehezítés

Múlt héten komoly támadás érte a 200 milliós aktív felhasználóval rendelkező szolgáltatót, 250 ezer fiók belépési adatait szerezték meg támadók, ami az utolsó csepp lehetett a pohárban, a Twitter azonnal bejelentette, hogy biztonságosabb azonosításra vált. A megvalósulás nyilvánvalóan még messzebb van, de a cég álláshirdetései közt is feltűntek olyan pozíciók, ahol szoftvermérnököket keresnek “felhasználói biztonsági funkciók fejlesztése, mint többlépcsős azonosítás és csalás-felismerés” bevezetése céljából. A cég egyelőre még nem nyilatkozik arról, hogy milyen elképzelései vannak, de biztosak lehetünk benne, hogy a Google esetében jól ismert formulán nem változtatnak sokat.

A Twitter jelenleg is az OAuth nevű azonosítási protokollját használja a külső alkalmazások és webhelyek beléptetésére, illetve a mobilos kliensek is ezen keresztül mutatkoznak be a központi szervereknek. Ez már most is megakadályozza, hogy a támadók az ilyen jellegű kommunikációt lehallgatva kihámozzák az azonosítókat vagy a session információkat felhasználva egyéb módon feltörjék a fiókot, a közvetlen azonosítás során pedig SSL-titkosításon keresztül utaznak a felhasználói azonosítók a böngészőben.

A szolgáltató tehát eddig is igyekezett tenni a biztonságért, de ezek az eszközök kizárólag a közvetlen információkinyerést célzó támadások ellen hatásosak. A “man in the middle” megoldások, ahol egy rosszindulatú hozzáférési pont, proxy vagy tűzfal ékelődik a rendszerbe, elegendőek a jelszavak megszerzéséhez. A tapasztalat ráadásul azt mutatja, hogy a cross-site scripting, e-mail adathalászat szintén a sikeres megoldások - arra is volt példa, hogy hackerek átvették az irányítást a Reuters Twitter feedje felett úgy, hogy a Twitter jelszót a hírügynökség blog platformjából húzták ki.

Már csak az emberi butaság marad

A kétlépcsős azonosítás minden ehhez hasonló támadás elleni küzdelemben hasznos eszköz, hiszen a jelszó megismerése önmagában nem elegendő a bejutáshoz, illetve a tömeges belépések is elkerülhetőek. A spameléshez, illetve egyéb nagy skálájú tevékenységekhez a kétlépcsős azonosítással védett fiókokat nem lehet majd használni, ahogyan a Google, Dropbox és a Microsoft fiókok is nagyobb biztonságban vannak, ha nem egyszerű belépési név-jelszó párossal vannak csak védve, hanem egy SMS-ben küldött kódot egy telefonon generált azonosítót is meg kell adni.

Az egyedi, egy adott felhasználó ellen irányuló támadások, amik általában csalás, az emberi hiszékenység kihasználása révén valósulnak meg, viszont továbbra is ott maradnak a porondon, de ezzel is érdemben csökken majd a kellemetlenségek száma.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.