Reddit Breache暴露2FA缺陷 澳大利亚在谷歌云上的ANZ银行 如何在Windows 10文件资源管理器中禁用广告 电动夏娃是自主汽车未来的愿景 IBM适合原子,盯着更小的设备 新西兰运行国家网络安全运动 APAC中小企业仍然挂在较老的PC上 开源比格鹰蓝板瞄准机器人,无人机 报告证实了网络攻击者的人顶级目标 Android的下一个目的地:使用Snapdragon 835无法阻止VR耳机 谷歌的Android Mistions OS无法在新的覆盆子PI板上工作 文化,而不是工具,是解锁创新的关键 天空混合Adobe机器智能和直觉 Gartner说,2018年全球Infosec在2018年支付了1140亿美元 三星推出了Bixby语音助理即将到来的Galaxy S8 政府在智能数据上推出公众咨询 大多数安全专业专业专业专业顾问关于选举基础设施 Wikileaks的CIA文件转储显示机构可以妥协Android,电视 信用卡违规击中另一个餐馆链 高等教育部门对网络威胁的应对良好,在有效的报告中露出裸露 明尼苏达警察寻求谁谷歌入受害者的名字的数据 亚马逊和苹果否认中国政府窃听了他们的服务器 微软宣布免费选举网络防御工具 谷歌面临欧洲的另一个反托拉斯投诉 Wikileaks Dump将CIA间谍活动带入聚光灯 法院表示,SAP许可证费用即使是间接用户而言 使用混合使用的用法 Brexit无法意味着电信工业和移动漫游的变化 医疗公司首次亮相互联网连接的假肢四肢 爱尔兰税务办公室检测客户服务人工智能 Java 9获得7月27日发布日期 ico击中了希思罗机场,超过120,000英镑的数据泄露罚款丢失的USB棒 高级法庭块Google iPhone隐私诉讼 未来iPhone与新的PowerVR图形架构获得4K 反映在学习的经验教训,重建并打开公共测试版 安全严重的一周功能flash mob活动 爱尔兰税务办公室检测客户服务人工智能 Adobe Reader,Edge,Safari和Ubuntu在Pwn2own的第一天秋天 AI安全炒作将业务投入风险 Windfarm利润基金有助于支付全纤维宽带 FBI主任浮动访问加密数据的国际框架 Brexit无法妨碍欧盟到英国的个人数据流动 星巴克向比特币交易平台的发展提供建议 现在是时候陷入窗户和办公室补丁时 5G计划刚刚击中加速器 时尚零售商设计提高了数据共享技术的销售机会 星巴克向比特币交易平台的发展提供建议 美国FCC探讨AT&T 911呼叫中断 Oracle优先级java 9错误修复 Danske Bank投资了爱沙尼亚问题后的反洗钱系统
您的位置:首页 >前端 >

Reddit Breache暴露2FA缺陷

新的聚合服务Reddit已承认其一些系统在员工账户随着双因素身份验证(2FA)的情况下遭到泄露的员工账户后,员工账户遭到泄露的员工账户。

虽然除了密码作为提高账户安全的方法之外,2FA是广泛推荐的,但是已知已缺陷的绑定使用的移动文本(SMS)的reddit使用的移动文本(SMS)。

“我们了解到,正如我们希望的那样,SMS的身份验证并不像我们希望的那样安全,并且主要攻击是通过SMS拦截的,”Reddit在一份声明中说。

“我们指出了这一点,鼓励在这里搬到基于令牌的2FA,”公司补充道。

该公司表示,这导致了Reddit用户当前电子邮件地址的曝光和2007年,其中2007年,该公司表示,在6月14日至18日之间的旧盐水和散列密码。

网络入侵者也被认为已经访问了6月3日至6月17日之间发送的电子邮件摘要,其中包括用户名及其相关的电子邮件地址以及Reddit建议的帖子。

“虽然这是一个严重的攻击,攻击者没有获得对Reddit系统的写入访问; Reddit表示,他们获得了对包含备份数据,源代码和其他日志的某些系统的只读访问权限。“

由于违约而言,Reddit表示,它已经开展了“艰苦的调查”,以确定有哪些数据暴露并改善其系统和流程。

Reddit表示,如果有机会反映了账户的当前密码,则曾向执法部门报告过法律执法并与其调查合作,向账户持有人发送警报,并采取措施保证对Reddit系统的额外访问措施的核算,并采取措施更安全,包括增强的日志记录,更多加密,并要求基于令牌的2FA获取条目。

Reddit已建立其帐户凭据受到影响以重置其Reddit帐户密码的用户,并为潜在的网络钓鱼诈骗提醒。

“所有用户都建议为所有用户提供强大的独特密码和启用2FA(我们仅通过验证者应用程序提供SMS),”该公司表示。

一些安全评论员表示,突发表明使用短信或电话发送用户一次性密码(OTP)的2FA仅略高于2FA。

2FA,使用附加到设备登录的安全密钥发送的加密令牌的使用被认为是更安全的,因为它不容易受到基于移动版本的拦截。

基于电话的OTPS已被证明易于一系列拦截方法,包括移动电话号码劫持,移动帐户劫持和利用SS7路由协议中的驾驶协议,该协议在全球范围内的运营商来确保其网络互操作。

Amperva的安全研究员Koby Kilimnik表示,如果泄露的所有密码确实哈希且盐渍,则会需要攻击者更多的时间来破解那些密码并使它们可以找到和计算每个inpidual哈希值。

“尽管如此,我仍然建议改变你的reddit密码,如果你不喜欢垃圾邮件,你可能还想开始使用不同的电子邮件帐户,因为泄露的电子邮件可能会发现他们进入一些垃圾邮件发送者的数据库,”他说。

Tripwire的安全研究员Craig Young,虽然SMS拦截是机会主义的财务欺诈中的常见技巧,但听到在这种类型的公共服务攻击中使用这种方法的常见是很常见的。

“虽然任何形式的多因素认证都是对简单密码模型相当大的改进,但是基于SMS的验证令牌可以用各种众所周知的技术被盗,”他说。

据年轻,亚律师在现代电话路由中心的信号系统7(SS7)协议中可能利用了众所周知的弱点。

“或者他们可以简单地打电话给受害者的蜂窝提供商,并确信他们将电话号码转移到一个新的SIM,”他说。“在同一蜂窝覆盖区域内的攻击者,因为受害者甚至可以用几百美元的设备拦截和解密SMS。

“这个故事的寓意是,基于SMS的2因素认证不应被视为坚定的攻击者的”强“。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。