Timehop-brud illustrerer behovet for multifaktor-godkendelse

Har du aldrig brugt en password manager? Sådan kommer du i gang. Du har sandsynligvis hørt, at du skulle bruge lange, komplekse adgangskoder og bruge en adgangskodemanager til at holde styr på dem. Men hvordan fungerer passwordadministratorer? Her er en hurtig forklaring.


Sidste måned annoncerede forbrugermobilappen Timehop ​​et sikkerhedsbrud, der stammede fra sidste december. En hacker fik adgang til deres infrastruktur og stjal detaljer om sine brugere, der inkluderede brugernavne, e-mails, telefonnumre og - værst af alt - adgangsnøgler for alle 21 millioner brugere.

Mere om cybersikkerhed

  • Cybersikkerhed i 2020: Otte skræmmende forudsigelser
  • De ti vigtigste cyberangreb i årtiet
  • Sådan bliver du en cybersecurity-pro: Et snyderi
  • Den berømte con mand Frank Abagnale: Kriminalitet er 4.000 gange lettere i dag

Som Timehop ​​forklarede, "disse adgangstaster forbinder Timehop-kontoen til forskellige sociale mediekonti, hvorfra Timehop ​​trækker ældre sociale medieindlæg og -billeder."

Virksomheden de-autentificerede konti for at gøre adgangsnøgler ubrugelige og derved beskytte brugernes sociale mediekonti og data.

Adgangskodestyringspolitik (Tech Pro Research)

Travis Smith, vigtigste sikkerhedsforsker hos Tripwire, fremsatte følgende kommentarer:

"Med overtrædelser, der sker hver dag, er det dejligt at se en organisation tage skridt, som vil hjælpe efter overtrædelse ud over det gratis år med kreditkortovervågning, der er blevet normen. Timehop ​​tog sig tid til at forstå omfanget af overtrædelsen og hvad der var Dette gjorde det muligt for dem at deaktivere adgangsnøglerne, som angriberen syntes at have været efter. Derudover aktiverede de multifaktor-godkendelse på alle konti for at forhindre yderligere skade på individuelle brugerkonti. "

I denne dag og alder sætter virksomheder, der ikke bruger multifaktor (også kendt som to-faktor) autentificering sig selv og deres kunder en enorm risiko. Det, der engang virkede som rammen for meget sikre miljøer som regeringsinstitutioner eller finansielle organisationer, er nu almindeligt - og nødvendigt.

Multifaktor-godkendelse defineret

Multifaktor-godkendelse kan betragtes som "noget, du kender" plus "noget, du har." Typiske eksempler involverer en adgangskode, adgangskode eller PIN-kode, som er kombineret med den numeriske output på en hardware-token, såsom dem leveret af RSA. Da en tyv eller hacker ikke sandsynligvis får både adgangskoden og tokenet, bliver brugergodkendelse mere sikker og mindre modtagelig for kapring eller gætte. Det kan også involvere adgangskoder, der overføres til brugeren via en bestemt e-mail-adresse eller mobilnummer, eller enklere metoder, jeg vil diskutere nedenfor.

Sikkerhedsfirmaet Tripwire giver nogle måder at konfigurere tofaktorautentifikation til større apps og tjenester såsom Facebook, Google og LinkedIn. De anbefaler, at du kontrollerer, at jeg er blevet pwned for at se, om din e-mail-adresse er knyttet til en kompromitteret konto, og foreslår, at brugere "aktiverer tofaktor (eller multifaktor) autentificering på de konti, du bruger regelmæssigt.

Tilføjelse af en anden form for godkendelse (typisk i form af en kode, der er genereret af eller sendt til en enhed, du ejer), kan sikre, at ingen får adgang til dine konti, selvom de har dine adgangskoder. "

MFA-installation

Smith sagde, at når man implementerer multifaktor-godkendelse (MFA), er det bedst at sikre sig, at det gælder alle godkendelsesmekanismer. Hvis den forreste ende af et websted understøtter MFA, men en mekanisme, der tillader API-opkald til tjenesten, bruger de samme legitimationsoplysninger og ikke understøtter MFA, vil en angriber bruge vejen til mindst modstand.

Tilsvarende er det at bruge kommunikation uden for bånd til multifaktor-godkendelse ideel. ”At have to adgangskoder, for eksempel, er faktisk ikke multifaktor-godkendelse, ” sagde Smith. "Der er offentlige tofaktors autentificeringsapps, som en webtjeneste let kan integreres i. Brug af e-mails eller tekstbeskedkoder er bedre end ingen, men der er tilfælde, hvor dedikerede angribere kan opfange disse meddelelser, eller en bruger mister adgang til deres e-mail eller telefonnummer og kan dermed miste adgangen til deres konto. "

Smith anbefalede at bruge meget stramme kontroller for at give brugerne mulighed for at komme tilbage på deres konto, når de mister adgangen til deres MFA-enhed for at undgå, at sociale ingeniører overtager konti.

"Tjenester som Timehop ​​giver dig mulighed for at autentificere én gang til en bestemt tjeneste og genbruge den godkendelsesmekanisme til fremtidig brug. Dette gør en mere problemfri brugeroplevelse, hvor slutbrugeren ikke behøver at indtaste brugernavne og adgangskoder, hver gang de vil Brug deres app. I dette konkrete tilfælde kan tofaktorautentisering hjælpe med at sikre den første forbindelse til den integrerede service, f.eks. Facebook, ”sagde Smith.

Bekvemmelighed betyder ikke sikkerhed

Dette ligner, hvordan nogle bankwebsteder fungerer, hvor du skal registrere et system eller enhed ved hjælp af en engangskode, der sendes til din telefon eller e-mail-adresse, og så er enheden klareret til fremtidig brug.

Det siger sig selv, at brug af en betroet enhed til at håndtere MFA bidrager til brugervenligheden. Men husk, at hvis enheden er stjålet eller kompromitteret, har en hacker den samme adgang, som brugeren har, især hvis brugeren gemte konto- og adgangskodeoplysninger i browseren.

Det er derfor vigtigt at bruge stærke adgangskoder / biometrisk beskyttelse, beskytte enheder mod tyveri, spore mistede enheder ved hjælp af Find min iPhone eller Googles Find min enhed og konfigurere enheder til at slette indholdet efter et vist antal mislykkede adgangsforsøg.

Teknologi er ikke alt, hvad angår sikkerhed. Virksomheder skal huske politikker og procedurer. ”At have en plan for hændelsesreaktion på plads for begivenheder som disse vil hjælpe CISOs med at holde et køligt hoved, ” sagde Smith. "At gennemgå en lejlighedsvis bordpladsøvelse er en god måde at holde dine hændelsesresponsskærer skarpe på. Så når du læser om brud som denne, skal du tænke på dig selv, hvad ville jeg gøre, hvis dette skete med mine data?"

Som med alle ting, skal vi finde en balance mellem at sikre en enhed og give en acceptabel brugeroplevelse. Hvis du læner dig for langt til begge sider, skaber du en ubalance, som kan ødelægge din service.

5G og Mobile Enterprise Nyhedsbrev

Mobilsikkerhed, fjernsupport, 5G-netværk og de nyeste telefoner, tablets og apps er nogle af de emner, vi vil dække. Leveres tirsdage og fredage

Tilmeld dig i dag

© Copyright 2020 | mobilegn.com