Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Przejęli facebookowy profil Rafała Ziemkiewicza… symulując włamanie
Pan Rafał poinformował o problemie za pośrednictwem Twittera:
Co w zasadzie niemal wszystko jest tu jasne – podpucha w postaci „rzekomego włamania” – trzeba szybko reagować, tj zmienić hasło! (oczywiście pan Rafał podał hasło nie w Facebooku ale do chińskich amatorów kont o dużym zasięgu).
Jakie rady? Przede wszystkim trzeba się zastanowić gdzie podajemy nasz login i hasło. Po drugie warto skonfigurować dwuczynnikowe uwierzytelnienie (w Facebooku to zakładka: Bezpieczeństwo i Logowanie).
Po ewentualnym przejęciu naszego hasła, atakujący nie będzie miał możliwości zalogowania się (bo nie ma dostępu do drugiego – poza hasłem – czynnika uwierzytelniającego – np. kodu z SMSa).
Obecnie konto już jest pod kontrolą „standardowego” właściciela:
–ms
> Po ewentualnym przejęciu naszego hasła, atakujący nie będzie miał możliwości zalogowania się (bo nie ma dostępu do drugiego – poza hasłem – czynnika uwierzytelniającego – np. kodu z SMSa).
Jak to nie będzie miał? Jeśli jego fiszowa strona będzie obsługiwać drugi składnik w postaci SMS-a, to przecież ofiara grzecznie wpisze kod z SMS-a. Który to kod, automat wklepie na prawdziwej stronie pejsbuka, aby ją przejąć.
Jedynie klucza U2F nie da się „przedłużyć”. Przynajmniej póki co.
Masz rację, choć w skrócie: zdecydowanie lepsze SMSowe 2FA, niż brak 2FA
Zgadza się.
Choć odchodząc od tematu Fb, wydaje mi się, że np. w Guglu, obecność 2FA zmiękcza pozostałe mechanizmy bezpieczeństwa, na zasadzie „wpisał jakiś kod, więc olejmy to, że loguje się na innym IP z Kazachstanu, z nietypowej przeglądarki, o 5 nad ranem”.
Już nie mówiąc o niektórych metodach 2FA np. Google prompt, który można zatwierdzić niemal odruchowo jak wyskoczy budząc nas w środku nocy. W dodatku nie można pozbyć sie prompta, jeżeli mamy zalogowany jakikolwiek telefon z Androidem, chyba że włączymy Advanced Security, ale wtedy zostaną chyba tylko klucze U2F.
A ja powiem tak – jakby to spotkało przysłowiowego „zwykłego Kowalskiego”, a nie znanego publicystę (choć nie wiem czy Ziemkiewicza można tym mianem określić), to FB miałby go „gdzieś” i żadni „przyjaciele” ani w błyskawicznym, ani w ogóle w żadnym załatwieniu sprawy by mu nie pomogli. Pożegnałby się z kontem i tyle. Więc dokładnie tak samo powinno być w przypadku Ziemkiewicza.