Хакеры обнаружили в Twitter ненадежную систему защиты паролей

Хакеры обнаружили в Twitter ненадежную систему защиты паролей

Злоумышленники могут взломать учетную запись посредством подбора паролей с разных IP-адресов. Хакеро бнаружил фундаментальную уязвимость в системе безопасности социальной сети Twitter. Брешь позволяет злоумышленникам получить незаконный доступ к учетным записям пользователей Twitter посредством брут-форс атаки.

По словам Даниэля Деннис Джонса (Daniel Dennis Jones), чья учетная запись была недавновзломана,система безопасности Twitter использует ограничения попыток входа в учетную запись по IP-адресу. Вследствие, злоумышленники могут использовать неограниченное количество IP-адресов для подбора пароля. Джонс отмечает, что этого можно было бы избежать, если бы Twitter выставил ограниченное количество попыток или использовал систему двухфакторной аутентификации, как это делает Google, сообщает securitylab.ru.

Взлом учетной записи Джонса осуществлялся при помощи программы, которая «пытается войти в социальную сеть посредством подбора широко используемых паролей». Отметим, что большинство служб и сайтов блокирует учетную запись после определенного количества попыток, или же требует введения CAPTCHA-кода. В Twitter же ограничения выставлены только для IP-адресов.

В настоящий момент представители Twitter не предоставили комментариев по поводу сложившейся ситуации.

В Битрикс24 добавили вход по коду из электронной почты

В облачной версии «Битрикс24» появился ещё один вариант двухфакторной аутентификации: теперь подтверждать вход можно с помощью кода, отправленного на электронную почту.

Ранее пользователям были доступны одноразовые коды из приложения-аутентификатора, пуш-уведомления и СМС.

Новый способ пригодится компаниям, где сотрудники по разным причинам не используют отдельные приложения для 2FA или не всегда могут получить сообщение на телефон.

Двухфакторная аутентификация добавляет к логину и паролю ещё один этап проверки. Даже если злоумышленник получил учётные данные через фишинговое письмо, утечку или звонок от имени «техподдержки», войти в аккаунт без дополнительного кода будет сложнее.

При этом электронная почта как второй фактор требует осторожности. Если злоумышленник уже контролирует почтовый ящик пользователя, такой способ защиты не поможет. Поэтому для наиболее важных аккаунтов надёжнее использовать приложение-аутентификатор или подтверждение на отдельном устройстве.

В ближайшее время аналогичная функция должна появиться и в коробочной версии «Битрикс24». Кроме того, компания планирует сделать двухфакторную аутентификацию обязательной для организаций на облачных тарифах «Профессиональный» и «Энтерпрайз».

RSS: Новости на портале Anti-Malware.ru