Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
29/05/2013
Critiquen la seguretat del sistema d'autenticació de doble factor de Twitter
El sistema d’autenticació de doble factor anunciat la setmana passada per Twitter no és efectiu. Almenys això és el que assegura F-Secure, que considera que este sistema podria ser utilitzat per hackers per a bloquejar els comptes.
La setmana passada, i després de patir diversos atacs d’alt nivell, Twitter va decidir introduir l’autenticació de doble factor en els seus sistemes perquè els usuaris puguen protegir els seus comptes registrant el seu número de telèfon i l'adreça del seu correu electrònic.
Este sistema d’autenticació de doble factor ja ha sigut víctima de les primeres crítiques. F-Secure assegura que podria ser utilitzat per hackers per a bloquejar el compte d’usuaris.
Sean Sullivan, assessor de seguretat de F-Secure, afirma que, en realitat, els hackers podrien abusar d’esta funció amb l’objectiu de prolongar l’accés no autoritzat als comptes que no tenen instal·lat l’autenticació de doble factor. L’assessor assegura que un atacant que furte alguna de les credencials, a través de mètodes com el phishing entre altres, podrien associar un nombre de telèfons de prepagament amb el compte de Twitter d’eixa persona i, després, habilitar l’autenticació de doble factor. Si això succeïx, el “propietari real” del compte de Twitter no podrà recuperar el seu compte de la manera més senzilla (a través del restabliment de la contrasenya) i haurà de posar-se en contacte amb el suport de Twitter.
Açò és possible pel fet que Twitter no utilitza cap mètode addicional per a verificar qui accedix a la xarxa social, amb la qual cosa, qualsevol que entra a Twitter des de la web té accés a l’autenticació de doble factor.
D’esta manera, i segons Sean Sullivan, quan l’opció “seguretat del compte” és habilitada per primera vegada, Twitter pregunta als usuaris si han rebut amb èxit un missatge de prova enviat al seu telèfon. Un usuari pot donar a l’opció de “sí” inclús si no rep el missatge.
Per a Sean Sullivan, el que hauria de fer Twitter és enviar un missatge de correu electrònic a l'adreça associada al compte, de forma que l’usuari haguera de fer clic per a confirmar l’autenticació de doble factor.
A més de F-Secure, altres investigadors de seguretat creuen que este sistema no és pràctic per a companyies els equips de social media de les quals estiguen geogràficament dispersos i no compartisquen un número de telèfon per a l’autenticació.