image

'2-factor authenticatie Twitter eenvoudig uit te schakelen'

maandag 27 mei 2013, 14:13 door Redactie, 2 reacties

Twitter introduceerde vorige week twee-factor authenticatie als aanvullende beveiliging voor gebruikers, maar de beveiligingsmaatregel is eenvoudig uit te schakelen. Twitter gebruikt sms als een manier om mobiele telefoonnummers aan het account toe te voegen of te verwijderen. "Een aanvaller kan via sms spoofing de twee-factor authenticatie uitschakelen als hij het nummer van het doelwit kent."

Dat zegt Sean Sullivan van het Finse F-Secure. Het probleem wordt nog vergroot doordat een aanvaller die toegang tot het account krijgt, bijvoorbeeld via phishing, twee-factor authenticatie voor zichzelf kan inschakelen. Het enige dat is vereist is een willekeurig telefoonnummer, sms spoofing en het woord 'go'.

Inschakelen
Aangezien er geen bevestigingscode voor het inschakelen van de twee-factor authenticatie vereist is, kan deze optie eenvoudig worden ingeschakeld. Als het slachtoffer zijn wachtwoord wil resetten, krijgt hij het bericht dat er een verificatiecode naar het opgegeven telefoonnummer is gestuurd.

Sullivan adviseert dan ook om de optie in te schakelen voordat iemand anders het doet. De beveiligingsexpert merkt op dat de meeste Twittergebruikers geen groot doelwit zijn. Toch hoopt hij dat er in de toekomst meer beveiligingsverbeteringen komen.

Reacties (2)
27-05-2013, 15:48 door Anoniem
In vindt het op zichg prima al die extra beveiligingsmaatregelen maar zoals al gezegd als de aanvaller het tel.nmr van degene weet heb je mogelijk een groot probleem.Ik hoop dat Twitter,Facebook,Skype en soortgelijke websites dan ook een goede,goed bereikbare klantenservice (24/7) hebben die je account kunnen blokkeren dan wel opheffen/sluiten als die door iemand anders is overgenomen,want daar praten we dan over.Het moet mogelijk zijn om bijv een kopie van het paspoort te faxen zodat men weet met de echte account-eigenaar te maken te hebben en zodoende kan men dan de account blokkeren en opheffen als de controle over de account niet kan worden herverkregen.
27-05-2013, 16:47 door Anoniem
Jeetje wat een domme 2-factor methode zeg...
Ze zouden een SMS met een code naar het bij hen bekende nummer moeten sturen en dan de gebruiker
die code laten overtypen in het formulier.
Dan wordt het een stuk lastiger om in te breken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.