Vídeo: Como ativar a Autenticação de dois Fatores no Twitter - Atualizado! (Novembro 2024)
Programa em duas etapas do Twitter
Pergunte a Josh Alexander, CEO da empresa de autenticação Toopher, como você invadiria o Twitter agora que a autenticação de dois fatores está em vigor. Ele lhe dirá que você faz exatamente da mesma maneira que fez antes do advento da autenticação de dois fatores.
Em um breve vídeo sobre a autenticação de dois fatores do Twitter, Alexander felicita o Twitter por ingressar em um "programa de duas etapas de segurança" e dar o primeiro passo, admitindo que existe um problema. Ele então continua ilustrando o quão pouco a autenticação de dois fatores baseada em SMS ajuda. "Sua nova solução deixa a porta aberta", disse Alexander, "para os mesmos ataques do tipo intermediário que comprometeram a reputação das principais fontes de notícias e celebridades".
O processo começa com um hacker enviando um e-mail convincente, uma mensagem me aconselhando a alterar minha senha do Twitter, com um link para um site falso do Twitter. Quando o faço, o hacker usa minhas credenciais de login capturadas para se conectar ao Twitter real. O Twitter me envia um código de verificação e eu o digito, dando-o ao hacker. Neste ponto, a conta está aberta. Assista ao vídeo - ele mostra o processo com muita clareza.
Não é de surpreender que o Toopher ofereça um tipo diferente de autenticação de dois fatores baseada em smartphone. A solução Toopher controla seus locais e atividades habituais, e pode ser configurada para aprovar automaticamente transações usuais. Em vez de enviar um código para você para concluir uma transação, ele envia uma notificação por push com detalhes da transação, incluindo o nome de usuário, o site e a computação envolvida. Eu não testei, mas parece sensato.
Evitar a aquisição de dois fatores
O rockstar de segurança Mikko Hypponnen, da F-Secure, apresenta um cenário ainda mais terrível. Se você não ativou a autenticação de dois fatores, um malfeitor que obtém acesso à sua conta pode configurá-la para você, usando seu próprio telefone.
Em um post do blog, Hypponen ressalta que, se você enviar tweets via SMS, já terá um número de telefone associado à sua conta. É fácil interromper essa associação; simplesmente envie STOP para o código curto do Twitter do seu país. Observe, porém, que isso também interrompe a autenticação de dois fatores. O envio de GO ativa novamente.
Com isso em mente, Hypponen postula uma sequência assustadora de eventos. Primeiro, o hacker obtém acesso à sua conta, talvez por meio de uma mensagem de spear phishing. Em seguida, enviando uma mensagem de texto GO a partir de seu próprio telefone para o código curto apropriado e seguindo algumas instruções, ele configura sua conta para que o código de autenticação de dois fatores chegue ao telefone. Você está trancado.
Essa técnica não funcionará se você já tiver ativado a autenticação de dois fatores. "Talvez você deva ativar o 2FA da sua conta", sugeriu Hypponen, "antes que outra pessoa faça isso por você". Não está totalmente claro para mim por que o invasor não pôde usar a falsificação de SMS para interromper a autenticação de dois fatores e prosseguir com o ataque. Eu poderia ser mais paranóico que Mikko?