Spargerea contului lui Jack Dorsey inseamna ca autentificarea cu doi factori este o pierdere de timp?

Contul de Twitter al fondatorului Twitter a fost spart. Toata presa a vuit saptamana trecuta.

Singura postare care a aparut pe contul de Twitter al lui Jack Dorsey, cand acesta nu mai a mai avut acces la propriul sau cont, includea mesajul ,,iti testam securitatea”. Cum era de asteptat in cazul unei personalitati atat de importante din tech, hackerii nu au avut acces la respectivul cont pentru o perioada indelungata, dar timpul a fost suficient pentru ca ,,testing your security” sa fie afisat de de mai multe ori, la fiecare cateva minute.

Si i-au testat-o. Ce s-a intamplat de fapt, cum au reusit hackerii sa-i sparga contul?

In ultimii ani, oamenilor li s-a recomandat sa inlocuiasca parolele pe care le folosesc pentru a accesa serviciile cloud, cu autentificare in doi factori sau „verificare in doi pasi”. Acest lucru se datoreaza faptului ca majoritatea breselor de securitate a serviciilor cloud sunt rezultatul parolelor compromise. Dar, asa cum este evident in spargerea contului de Twitter, verificarea prin SMS in doi pasi pe care o folosea Jack Dorsey, nu a oferit protectia preconizata, iar hackerii au reusit sa-i preia contul. Asta inseamna ca multi-factor authentication MFA este supraevaluata ca o metoda eficienta pentru securizarea conturilor cloud? Se dovedeste ca nu toate metodele MFA sunt egale. Dorsey folosea verificarea in doi pasi bazata pe SMS. La logarea in contul sau, pe telefonul sau ii era trimis un cod SMS. In cazul spargerii contului sau de Twitter, hackerii au reusit sa efectueze un atac de tip „SMS Swap”: probabil au mituit sau au convins un angajat al operatorului de telefonie mobila folosita de Dorsey sa-i transfere numarul pe un telefon care era in posesia lor. Codul SMS a fost apoi trimis pe dispozitivul hackerului si a fost folosit pentru a intra in contul Dorsey.

Autentificarea cu doi factori este inca cea mai buna modalitate de a va proteja contul. Dar nu neaparat MFA care se bazeaza pe SMS. In 2016, NIST concluziona ca interceptarea si redirectionarea mesajelor SMS a devenit prea usoara si poate fi operata de oricine.

Daca nu prin SMS, atunci ce metoda de verificare in doi pasi trebuie sa folosim ?

Pentru telefoanele mobile, cea mai simpla si sigura metoda este PUSH OTP, folosind o aplicatie OTP care este instalata pe telefon. Cu tehnologia OTP, criptorul care genereaza codul de securitate este securizat in aplicatie, iar aplicatia este legata in siguranta la dispozitivul fizic. Spre deosebire de SMS, aceasta tehnologie nu se bazeaza pe operatorul de telefonie mobila pentru a livra codul de securitate. Chiar daca numarul de telefon ar urma sa fie transferat pe alt dispozitiv hackerul nu va mai putea genera coduri de securitate folosind aplicatia. Deci, ce ar trebui sa cauti la evaluarea autentificarii bazate pe doi factori OTP si Push?

Asigurati-va ca aplicatia OTP nu poate fi salvata pe un drive extern sau copiata pe un alt dispozitiv.  Asigurati-va ca aplicatia OTP accepta inscrierea si activarea securizata a aplicatiei: codul de securitate trebuie sa fie protejat si securizat atunci cand un utilizator instaleaza aplicatia, iar procesul de instalare a aplicatiei trebuie sa fie si el criptat. In caz contrar, modulul criptografic care genereaza codurile de securitate ar putea fi in pericol.

In concluzie, atunci cand este dezvoltat cu cea mai buna securitate incorporata, autentificarea cu doi factori bazata pe PUSH OTP este un mod extrem de eficient de a proteja aplicatiile si serviciile cloud si de a depasi punctele slabe ale parolelor. Acesta ofera atat securitate, cat si un mod usor si convenabil de a va conecta la aplicatii – puteti vedea in  videoclipul de mai jos cum PUSH OTP va poate securiza contul Office 365.