В компании F-Secure утверждают , что двухфакторная аутентификация Twitter не настолько безопасна, как заявляют представители социальной сети.
Twitter реализовала новый метод авторизации на прошлой неделе, при котором специальный код, который нужно вводить параллельно с паролем, отправляется пользователю в SMS-сообщении.
Как говорит Шон Салливан, представитель F-Secure, атакующие могут злоупотребить новым функционалом Twitter, чтобы получить несанкционированный доступ к тем аккаунтам пользователей, которые еще не включили поддержку двухфакторной аутентификации. Если атаку удастся совершить, то реальный владелец блога уже не сможет восстановить контроль над блогом простым сбросом пароля. Это становится возможным, ввиду того, что Twitter не использует дополнительных методов верификации для тех, кто неавторизованно завладел пользовательским блогом и включил на нем двухфакторную аутентификацию.
При включении двухфакторной аутентификации, пользователь получает тестовое сообщение на телефон. После этого на сайте пользователю задают вопрос получил ли он SMS. Пользователи просто нажимают «Да» (даже если они и не получили сообщения). Салливан говорит, что Twitter вместо этого нужно было бы отправлять ссылку с подтверждением по электронной почте, которая была указана в аккаунте и работает даже при подключении двухфакторной аутентификации.
В Twitter пока никак не отреагировали на заявления F-Secure.
Источник: SecurityLab
|