Twitter запустил двухфакторную авторизацию Руководство социальной сети Twitter объявило о введении двухфакторной авторизации на сервисе. Согласно заявлению компании, такой шаг обусловлен недавними атаками хакеров на страницы изданий Associated Press, телеканалов CNN, Fox News и других известных корпоративных профайлов. Отныне Twitter предлагает владельцам страничек кроме логина и пароля вводить дополнительный код, который будет приходить на сотовый телефон в виде SMS. Пользователи микроблога могут выбрать новую функцию в настройках аккаунта, для активации которой нужно ввести номер своего мобильного. «Мы надеемся, что новшество существенно обезопасит наших пользователей», — заявили представители Twitter. Недавно подобная схема защиты была запущена Apple для российских пользователей. Функция призвана повысить безопасность данных при использовании учетной записи Apple ID на различных устройствах. Двухшаговая аутентификация была внедрена для iCloud, iTunes, App Store и других онлайн-сервисов Apple. Двухфакторная авторизация не сможет защитить информацию, если злоумышленник получит доступ непосредственно к мобильному телефону. 23.05.2013 Источник © MacDigger
Двухэтапную авторизацию Twitter легко обойти Двухэтапную авторизацию Twitter легко обойти Сразу после появления двухэтапной авторизации на сайте Twitter специалисты обратили внимание на странную процедуру ее активации. Достаточно указать номер телефона на сайте — и нажать кнопку “OK”. То есть даже не требуется ввести код, пришедший на телефон, чтобы подтвердить правильность введения номера телефона. Точно такая же процедура действует и при удалении услуги. Шон Салливан из компании F-Secure опубликовал статью (тут) с описанием уязвимостей двухэтапной аутентификации Twitter и возможными сценариями атаки. Слабость двухэтапной авторизации в Twitter еще и в том, что этот сервис можно подключить/удалить одновременно с подключением/удалением услуги получения твиты на мобильный телефон. Последняя услуга известна давно и легко компрометируется с помощью SMS-спуфинга *. Достаточно отправить SMS-сообщение со словом STOP на номер компании Twitter в определенной стране, указав в качестве обратного номера номер жертвы — и вы отключили жертве двухэтапную авторизацию. Шон Салливан из компании F-Secure успешно проверил описанный метод: ему удалось отключить двухэтапную авторизацию на чужом аккаунте. Пользователь, защищенный через двухэтапную авторизацию, обычно чувствует себя в безопасности и выбирает более простой пароль. Таким образом, подобрать его не составляет особого труда. Войдя в аккаунт, мы легко можем активировать двухэтапную авторизацию уже на свой номер телефона. То же самое справедливо для пользователей, у которых не была подключена услуга двухэтапной авторизации. Даже зная пароль, жертва никак не сможет зайти на сайт без помощи техподдержки Twitter. Таким образом, вам следует включить двухфакторную авторизацию, пока кто-то другой не сделал это за вас, но обязательно нужно использовать никому не известный номер телефона. 27.05.2013 Источник © Хакер.ru