för Zero Day
| November 21, 2019 — 21:29 GMT (21:29 GMT)
| Ämne: Säkerhet
Twitter meddelade i dag att användarna kommer att slutligen kunna avaktivera SMS-baserade tvåfaktorsautentisering (2FA) för sina konton och använda en alternativ metod, till exempel mobil-en-gång-kod (OTP) authenticator eller en hårdvara säkerhetsnyckel.
Tills idag, det var omöjligt.
Om användarna ville använda 2FA för sina Twitter-konto, som de hade att registrera ett telefonnummer och aktivera SMS-baserade 2FA metod, även om de ville det eller inte.
Eric Bruk
Användare som ville använda en OTP mobile authenticator eller en hårdvara säkerhetsnyckel, var tvungen att aktivera SMS-baserade 2FA första, och de kunde inte stänga av den.
Även om användaren väljer att använda en säkerhetsnyckel, SMS-baserade 2FA metod som fortfarande var aktiva och synliga på kontot för att attacker som kallas SIM-swappar.
Hackare som visste att en användares lösenord skulle utföra ett SIM-swap för att tillfälligt kapa en användares telefonnummer, bypass SMS-baserade 2FA, och sedan ta över användarens konto.
Under de senaste två åren, många hög-profil-konton har blivit hackade på detta sätt, men Twitter aldrig gav vika för dess beslut att göra SMS-baserade 2FA obligatorisk och en alltid-på alternativ.
Allt förändrades den 30 augusti, sommaren, när hackare som används i ett SIM-swap attack för att få tillgång till Twitter-konto av Jack Dorsey, Twitter VD.
Medan en hackare inte kringgå 2FA i händelse av hans konto, de gjorde avslöja riskerna med SIM-byta till Twitter VD och hans security team.
Från och med idag kan användare slutligen avaktivera SMS-baserade 2FA, och välja en mer säker 2FA metod.
Detta innebär också att Twitter-användare kan nu ta bort det telefonnummer som är kopplade till deras konto, och ändå kunna använda 2FA — något som inte var möjligt innan. Detta också i sig eliminerar scenarier där SIM-swappers som inte vet lösenordet för en användare kan använda SMS för återställning av lösenord-funktionen för att kapa konton-ett effektivt sätt att koppla SIM-byta angrepp på ett konto.
Twitter meddelade den har idag, men det har varit under kontroll för mer än en vecka, eftersom upptäckt av en användare under helgen
Twitter-nu, äntligen, kan du aktivera multi-faktor autentisering utan krav på att SMS-koderna vara ett alternativ! #segrar
Om du känner dig även på distans vid risk för konto övertagande, använd en authenticator och/eller en säkerhetsnyckel och avaktivera SMS som ett konto. pic.twitter.com/ZnR9nCZYJ3
— Eric Bruk (@konklone) 16 November, 2019
Säkerhet
Chrome, Edge, Safari hacka på elite Kinesisk hacka tävling
Tusentals hackad Disney+ konton finns redan till försäljning på hacking forum
It-säkerhet är på väg in i en rekrytering krisen: Här är hur vi kan åtgärda problemet
Fastställande av data läckor i Jira (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
Hur man styr plats spårning på din iPhone på iOS 13 (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för Zero Day
| November 21, 2019 — 21:29 GMT (21:29 GMT)
| Ämne: Säkerhet