Video: Verbeter de beveiliging van je WordPress-website (November 2024)
Twitter pakt eindelijk het netelige probleem van accountkapingen aan door tweefactorauthenticatie uit te rollen voor alle gebruikers. Hoewel een noodzakelijke eerste stap, is dit niet voldoende om alle kapers te verijdelen.
Gebruikers die ervoor kiezen om tweefactorauthenticatie te gebruiken, worden gevraagd de unieke zescijferige code in te voeren die via sms naar hun telefoons wordt verzonden, samen met hun normale gebruikersnaam en wachtwoord wanneer ze proberen in te loggen op Twitter.com, Jim O'Leary, een lid van het productbeveiligingsteam van Twitter, schreef op de bedrijfsblog. Aangezien tools van derden, zoals HootSuite, op een andere verificatiemethode vertrouwen, mogen deze wijzigingen geen gevolgen hebben.
"Dit is een grote en te late stap van Twitter om veiliger te worden, maar het is nog maar het halve werk", vertelde Ken Pickering, ontwikkelingsmanager van beveiligingsinformatie bij CORE Security, aan SecurityWatch . Twee-factor betekent niet squat als mensen het niet echt inschakelen en correct configureren.
SecurityWatch raadt gebruikers aan tweefactorauthenticatie in te schakelen voor hun Twitter-accounts. Een extra beveiligingslaag bovenop de normale combinatie van wachtwoord en gebruikersnaam is altijd een goede zaak, zelfs als dit niet altijd de meest handige stap is. Als u de optie niet op uw instellingenpagina ziet, blijft u zitten.
Twee factoren mogen echter niet het gezond verstand vervangen, omdat tegenstanders nog steeds genoeg manieren hebben om controle over uw account te krijgen.
Waarom het bedrijven niet helpt
Tweefactorauthenticatie is een geweldige beveiligingsfunctie en personen zouden serieus moeten overwegen om de beveiliging van hun accounts in te schakelen, maar het is niet een remedie voor alle authenticatieproblemen.
Two-factor helpt zelfs organisaties die niet willen worden gekaapt zoals AP, The Onion en The Guardian eerder deze maand waren door het Syrische elektronische leger. De meeste organisaties delen accounts, waarbij meerdere personeelsleden hetzelfde account gebruiken. Ze kunnen two-factor niet inschakelen omdat medewerkers geen toegang hebben tot dezelfde telefoon, noteerde Graham Cluley, een senior technologieconsultant bij Sophos, op het Naked Security-blog.
Hun opties zijn om altijd ingelogd te blijven - wat geen beveiliging is - of om elke medewerker contact op te laten nemen met de telefooneigenaar om de zescijferige code mee te sturen wanneer ze willen inloggen. Ik zie dat niet goed werken, doe je?
Als de gebruikers gemakkelijk phishing zijn, helpt tweefactorauthenticatie niet echt. Iemand valt voor de val en eindigt die zescijferige code in een neppagina, en daar gaat het account. "Online criminelen kunnen 'man-in-the-middle'-technieken gebruiken om de zescijferige toegangscode naast uw wachtwoord en gebruikersnaam te pakken als ze worden bepaald, " zei Cluley.
U kunt niet al uw accounts beschermen
Als je meerdere accounts hebt, moet je kiezen welk account het belangrijkste is en dat beschermen, omdat Twitter één telefoon beperkt voor één account. "Hoewel het zeker beter is dan niets, zal dit waarschijnlijk een vrij klein percentage van het gebruikersbestand van Twitter helpen, " schreef Lysa Myers van Intego op de Mac Security Blog.
Als Twitter echt wil voorkomen dat gebruikers malware verspreiden, "moet tweefactorauthenticatie vaker gebeuren, bijvoorbeeld elke keer dat een Twitter-gebruiker een tweet publiceert", vertelde Yishay Yovel, vice-president marketing bij Trusteer, aan SecurityWatch . Malware kan wachten en schadelijke berichten posten nadat de gebruiker is ingelogd, zei hij.
Zelfs met de beperkingen, ga je gang en schakel de beveiligingslaag in wanneer je deze krijgt. Maar leer uzelf en iedereen om u heen hoe u phishing kunt herkennen, sterke wachtwoorden kunt selecteren en in principe waakzaam kunt blijven.
Zoals Myers van Intego zei, is de tweefactorauthenticatie van Twitter beter dan niets. Maar het is er nog niet helemaal voor veel gebruikers en organisaties.
