خرق كلمة المرور يعلم رديت ، نعم ، 2FA الهاتف القائم على هذا السوء

خرق كلمة المرور يعلم رديت أن ، نعم ، 2FA القائم على الهاتف أمر سيء للغايةEnlargeMisaochan

خرق تم الكشف عنه حديثًا وسرق بيانات كلمة المرور والخاصة الرسائل هي تعليم مسؤولي رديت درساً عن الأمن عرفه المحترفون منذ سنوات: المصادقة الثنائية (2FA) الذي يستخدم الرسائل القصيرة أو المكالمات الهاتفية أفضل قليلاً من لا 2 كل شيء.

في منشور نشر الأربعاء ، قال رديت إن المهاجم قد انتهك العديد من حسابات الموظفين في منتصف يونيو. ثم الوصول إلى المهاجم نسخة كاملة من بيانات النسخ الاحتياطي الممتدة من إطلاق الموقع في 2005 إلى مايو 2007. وشملت البيانات المملحة بشكل مشفر و تم تجزئة بيانات كلمة المرور من تلك الفترة ، جنبًا إلى جنب مع المقابلة أسماء المستخدمين وعناوين البريد الإلكتروني وجميع محتويات المستخدم ، بما في ذلك رسائل خاصة. حصل المهاجم أيضًا على هضم البريد الإلكتروني تم إرسالها بين 3 يونيو و 17 يونيو من هذا العام. تلك الهضم تضمين أسماء المستخدمين وعنوان البريد الإلكتروني المقترن بها ، إلى جانب كانت المشاركات المقترحة من Reddit من مستخدمي subreddits الآمنين للعمل الاشتراك في.

قراءة متعمقة

كبير تقنيي FTC يحصل على رقم هاتفها المحمول قال منشور ID thiefWednesday أن حسابات الموظفين المخالفة كانت محمية من قبل 2FA ، الأمر الذي يتطلب عادة الناس لاتخاذ خطوة إضافية تتجاوز إدخال كلمة المرور عند الوصول إلى حساب من كمبيوتر جديد. في معظم الحالات ، فإن الخطوة الإضافية هي الدخول كلمة مرور لمرة واحدة (OTP) تم إرسالها إلى أو إنشاؤها بواسطة هاتف محمول. أكثر أمانا حتى الآن ، و 2FAis في شكل أ رمز تشفير تم إرساله بواسطة مفتاح أمان مرفق بجهاز تسجيل الدخول. ومع حماية حسابات Reddit ، تعتمد على طلبات OTP المرسلة عبر الرسائل النصية القصيرة ، على الرغم من التقارير عبر سنوات (مثل هذا واحد) التي تجعل من الواضح تماما أنهم عرضة للاعتراض.

مدرسة تقرع الصعب

“لدينا بالفعل نقاط الوصول الأساسية للرمز و البنية التحتية وراء مصادقة قوية تتطلب عاملين المصادقة (2fa) ، علمنا أن المصادقة المستندة إلى SMS هي ليس آمنًا تمامًا كما نأمل ، وكان الهجوم الرئيسي عبر الرسائل القصيرة اعتراض “، وكتب مسؤولون رديت. نشير إلى هذا شجع الجميع هنا على الانتقال إلى 2fa القائمة على الرمز. ”

رسائل OTP المنقولة عبر الرسائل القصيرة عرضة لمجموعة متنوعة من الهجمات. الأول هو التحكم في رقم الهاتف الخلوي للهدف في كثير من الأحيان عن طريق استدعاء مزود الخلوي أو الذهاب إلى متجر بيع بالتجزئة من المزود وانتحال هوية المشترك. في عام 2016 ، الرئيس وكان ضابط التكنولوجيا في لجنة التجارة الفيدرالية الأمريكية لها عدد المختطفين بهذه الطريقة. في حالات أخرى ، فإن الاعتراض هو نتيجة المساس بحساب الهاتف المحمول لأنه محمي بواسطة كلمة مرور يستخدمها المشترك في موقع مختلف خرق. لا يزال اعتراضات أخرى هي نتيجة للاستغلال نقاط الضعف منذ عقد من الزمن في بروتوكول التوجيه SS7 أن الناقلين في جميع أنحاء العالم تستخدم لضمان التواصل شبكاتهم. OTPsعرضة أيضا للهجمات التصيد والهندسة الاجتماعية ، كما طالما أن المهاجمين يدخلون الرموز بسرعة بعد الحصول عليها معهم.

على مدى السنوات القليلة الماضية ، سقطت خدمة الرسائل النصية القصيرة المستندة إلى الرسائل القصيرة من المفضل حيث اعتمد المزيد من الناس تطبيقات الأجهزة المحمولة ، مثل Google مصادقة أو الثنائي ، والتي تولدOTOTs. هذا الشكل من 2FAis أفضل من الرسائل القصيرة ، لكنها لا تزال معيبة لأنه يمكن التصيد أو الحصول عليها من خلال الهندسة الاجتماعية. في هجمات أكثر استهدافًا وتعقيدًا ، قد يقوم الهاتف المحمول بذلك أيضا أن تكون مصابة البرامج الضارة.

قراءة متعمقة

قد يكون هذا الجهاز منخفض التكلفة أفضل أمل في العالم ضد الحساب عمليات الاستحواذآلية أقوى بكثير لتوفير 2FAis استخدام مفاتيح الأمان المادي التي تتصل مباشرة بالكمبيوتر يتم استخدامها لتسجيل الدخول. بعد أن يقوم المستخدم بإدخال كلمة المرور الصحيحة ، المواقع التي تم تكوينها لدعم الرموز الأمنية سوف تتطلب الشخص الذي اضغط على زر على الجهاز. مفتاح التشفير مضمن في الجهاز ثم يرسل رمزًا يوفر الثاني شكل المصادقة. هذا النوع من المصادقة هو أعلى بكثير إلى الرسائل النصية القصيرة وحتى التطبيق الذي تم تمكينه للتطبيق لأن السر لا يمكن أن يكون مخادع أو مكشوف أو تم اعتراضه. (هجوم تم الكشف عنه في مارس) التي تستخدم ميزة Chrome لخداع المستخدمين لإفشاء السر المواد على مفاتيحها المادية لم تعد تعمل.)

نتيجة كل هذا هي أن 2FAis القائمة على الرسائل القصيرة أفضل من لا 2FAat كل شيء ، ولكن فقط الحد الأدنى لذلك. المواقع التي تسمح أشكال أقوى من 2FAbut تقدم 2FAas القائمة على الرسائل النصية القصيرة أو القائمة على الاتصال احتياطي يجب أن تلاحظ. تحسن وسيط هو استخدام التطبيقات المستندة إلى الهاتف مع عدم الرجوع إلى الرسائل القصيرة. الأكثر متفوقة أشكال 2FAthat قابلة للحياة وتشمل الآن الرموز المادية مع عدم استخدام OTPs ، أو إذا كان ذلك صعبًا للغاية بالنسبة للمستخدمين ، OTPs الناتجة فقط عن التطبيقات. تم الممارسين الأمن الوعظ هذا الانجيل لسنوات. يوضح رديت ذلك الأشخاص الذين يجب أن يعرفوا بشكل أفضل لا يستجيبون لهذا دائمًا النصيحة.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: