Timehop-brudd illustrerer behovet for multifaktorautentisering

Har du aldri brukt passordbehandling? Slik kommer du i gang Du har sikkert hørt at du skal bruke lange, sammensatte passord og bruke en passordbehandling for å holde rede på dem. Men hvordan passordledere jobber? Her er en rask forklaring.


Forrige måned kunngjorde forbrukermobilappen Timehop ​​et sikkerhetsbrudd som stammet fra desember i fjor. En hacker fikk tilgang til infrastrukturen sin og stjal informasjon om brukerne som inkluderer brukernavn, e-post, telefonnumre og - verst av alt - tilgangsnøkler for alle 21 millioner brukere.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Som Timehop ​​forklarte, "kobler disse tilgangsnøklene Timehop-kontoen til forskjellige sosiale mediekontoer der Timehop ​​trekker eldre innlegg og bilder i sosiale medier."

Selskapet avautifiserte kontoene for å gjøre tilgangsnøklene ubrukelige, og beskytter dermed brukerens sosiale mediekontoer og data.

Retningslinjer for passordstyring (Tech Pro Research)

Travis Smith, viktigste sikkerhetsforsker ved Tripwire, ga følgende kommentarer:

"Med brudd som skjer hver dag, er det hyggelig å se en organisasjon ta skritt, noe som vil hjelpe etterbrudd utover det gratis året med kredittkortovervåking som har blitt normen. Timehop ​​tok seg tid til å forstå omfanget av bruddet og hva som var Dette tillot dem å deaktivere tilgangsnøklene, som angriperen så ut til å ha vært etter. I tillegg aktiverte de flerfaktorautentisering på alle kontoer for å forhindre ytterligere skade på individuelle brukerkontoer. "

I denne tidsalderen plasserer selskaper som ikke bruker multifaktor (også kjent som tofaktor) autentisering seg og sine kunder en enorm risiko. Det som en gang virket som riket til svært sikre miljøer som statlige institusjoner eller økonomiske organisasjoner, er nå vanlig - og nødvendig.

Multi-faktor autentisering definert

Multifaktorautentisering kan tenkes som "noe du vet" pluss "noe du har." Typiske eksempler involverer et passord, passord eller PIN-kode, som er kombinert med den numeriske utgangen til et maskinvaretoken som de som er levert av RSA. Siden det ikke er sannsynlig at en tyv eller hacker vil få tak i passordet og symbolet, blir brukerautentisering sikrere og mindre utsatt for kapring eller gjetting. Det kan også innebære tilgangskoder overført til brukeren via en spesifikk e-postadresse eller mobilnummer, eller enklere metoder jeg vil diskutere nedenfor.

Sikkerhetsselskapet Tripwire gir noen måter å konfigurere tofaktorautentisering for store apper og tjenester som Facebook, Google og LinkedIn. De anbefaler å sjekke Have I Been Pwned for å se om e-postadressen din er koblet til en kompromittert konto, og foreslår at brukere "aktiverer tofaktors (eller flerfaktor) autentisering på kontoene du bruker regelmessig.

Å legge til en annen form for autentisering (vanligvis på en måte som en kode generert av eller sendt til en enhet du eier) kan sikre at ingen får tilgang til kontoene dine, selv om de har passordene dine. "

MFA-distribusjon

Smith uttalte at når du distribuerer multifaktorautentisering (MFA), er det best å sørge for at den gjelder alle autentiseringsmekanismer. Hvis fronten av et nettsted støtter MFA, men en mekanisme for å tillate API-anrop til tjenesten bruker de samme legitimasjonene og ikke støtter MFA, vil en angriper bruke alléen av minst mulig motstand.

Tilsvarende er det å bruke utenbåndskommunikasjon for multifaktorautentisering. "Å ha to passord, for eksempel, er faktisk ikke multifaktorautentisering, " sa Smith. "Det er offentlige tofaktors autentiseringsapper, som en webtjeneste enkelt kan integreres i. Å bruke e-post- eller tekstmeldingskoder er bedre enn ingen, men det er tilfeller der dedikerte angripere kan avskjære disse meldingene, eller en bruker mister tilgangen til e-posten sin eller telefonnummer, og kan dermed miste tilgangen til kontoen sin. "

Smith anbefalte å bruke veldig stramme kontroller for å la brukere komme tilbake på kontoen sin når de mister tilgangen til MFA-enheten for å unngå at sosiale ingeniører overtar kontoer.

"Tjenester som Timehop ​​lar deg autentisere en gang til en spesifikk tjeneste og gjenbruke den autentiseringsmekanismen for fremtidig bruk. Dette gjør en mer sømløs brukeropplevelse der sluttbrukeren ikke trenger å fortsette å oppgi brukernavn og passord hver gang de vil bruk appen deres. I dette spesifikke tilfellet kan tofaktorautentisering bidra til å sikre den innledende forbindelsen til den integrerte tjenesten, for eksempel Facebook, "sa Smith.

Bekvemmelighet betyr ikke sikkerhet

Dette ligner på hvordan noen banknettsteder opererer, hvor du må registrere et system eller enhet ved å bruke en engangskode som sendes til din telefon eller e-postadresse, og deretter er enheten klarert for fremtidig bruk.

Det sier seg selv at bruk av en pålitelig enhet for å håndtere MFA gir brukeren brukervennlighet. Men husk at hvis enheten blir stjålet eller kompromittert, har en angriper den samme tilgangen som brukeren har, spesielt hvis brukeren lagret konto- og passordinformasjon i nettleseren.

Det er derfor viktig å bruke sterke passord / biometrisk beskyttelse, beskytte enheter mot tyveri, spore tapte enheter ved å finne Find My iPhone eller Googles Finn min enhet, og konfigurere enheter til å slette innhold etter et visst antall mislykkede tilgangsforsøk.

Teknologi er ikke alt når det kommer til sikkerhet. Bedrifter må ha policyer og prosedyrer i tankene. "Å ha en plan for hendelsessvar for hendelser som disse vil hjelpe CISOs å holde et kjølig hode, " sa Smith. "Å gå gjennom en og annen øvelse på bordplaten er en flott måte å holde kuttene dine til å høre skarpt på. Når du leser om brudd som denne, tenk selv, hva ville jeg gjort hvis dette skjedde med dataene mine?"

Som med alle ting, må vi finne en balanse mellom å sikre en enhet og gi en akseptabel brukeropplevelse. Hvis du lener deg for langt til hver side, vil du skape en ubalanse, som kan ødelegge tjenesten din.

5G og Mobile Enterprise Nyhetsbrev

Mobilsikkerhet, fjernstøtte, 5G-nettverk og de nyeste telefonene, nettbrettene og appene er noen av temaene vi dekker. Leveres tirsdager og fredager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com