ভিডিও: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (নভেম্বর 2024)
" যদি কেবলমাত্র… " এর দেশটি থেকে যদি অ্যাসোসিয়েটেড প্রেসগুলি তার টুইটার অ্যাকাউন্ট দিয়ে দ্বি-ফ্যাক্টর প্রমাণীকরণ স্থাপন করে থাকে, তবে সিরিয়ানপন্থী হ্যাকাররা অ্যাকাউন্টটি ছিনতাই করতে না পারত এবং ধ্বংসাত্মক পদক্ষেপ নেবে না।
সুন্দর এবং পরিপাটি ধারণা, কিন্তু বাস্তবে, না। যদিও দ্বি-গুণক প্রমাণীকরণ ব্যবহারকারী অ্যাকাউন্টগুলি সুরক্ষিত করার জন্য একটি শক্তিশালী সরঞ্জাম, এটি সমস্ত সমস্যার সমাধান করতে পারে না। দ্বি-গুণক থাকার ফলে @ এপকে সহায়তা করতে পারত না কারণ হ্যাকাররা ফিশিং আক্রমণের মাধ্যমে ভেঙে পড়েছিল। ফিশমির সিটিও অ্যারন হিগবি বলেছিলেন, বিরোধীরা সুরক্ষার স্তরটিকে বাইপাস করে ব্যবহারকারীদের ঠকানোর আরও একটি উপায় খুঁজে পাবে।
মঙ্গলবার সিরিয়পন্থী হ্যাকাররা এপি টুইটার অ্যাকাউন্ট হাইজ্যাক করে এবং হোয়াইট হাউসে বিস্ফোরণ ও রাষ্ট্রপতি আহত হওয়ার দাবিতে একটি জাল নিউজ সতর্কতা পোস্ট করেছে। তিন বা চার মিনিটের মধ্যে এপি কর্মীরা কী ঘটেছে তা অনুধাবন করে এবং গল্পটি মিথ্যা বলেছিলেন, বিনিয়োগকারীরা আতঙ্কিত হয়ে ডাউ জোন্স ইন্ডাস্ট্রিয়াল গড়কে 148 পয়েন্টের উপরে ভেঙে পড়েছিলেন। ব্লুমবার্গ নিউজ অনুমান করেছে যে এসএন্ডপি 500 সূচক থেকে "মুছে" 136 বিলিয়ন ডলার।
অনুমানযোগ্যভাবে, বেশ কয়েকটি সুরক্ষা বিশেষজ্ঞ তাত্ক্ষণিকভাবে টুইটারকে দ্বি-গুণক প্রমাণীকরণের প্রস্তাব না দিয়ে সমালোচনা করেছিলেন। "টুইটারকে সত্যিকার অর্থে দ্রুত দ্বি-গুণক প্রমাণীকরণ পাওয়া দরকার। এ নিয়ে তারা বাজারের পিছনে রয়েছে, " এনসি সার্কেলের সুরক্ষা কার্যক্রমের পরিচালক অ্যান্ড্রু স্টর্মস একটি ইমেইলে বলেছেন।
গোষ্ঠী বনাম পৃথক অ্যাকাউন্টসমূহ
দ্বি-ফ্যাক্টর প্রমাণীকরণের ফলে আক্রমণকারীদের ব্রুট-ফোর্স পদ্ধতি ব্যবহার করে ব্যবহারকারীর অ্যাকাউন্ট হাইজ্যাক করা বা সামাজিক প্রকৌশল পদ্ধতির মাধ্যমে পাসওয়ার্ড চুরি করা আরও শক্ত হয়ে যায়। এটিও ধরে নেয় যে অ্যাকাউন্টে প্রতি একজন ব্যবহারকারী রয়েছেন।
এফ-সিকিউরের নিরাপত্তা গবেষক শান সুলিভান সিকিউরিটি ওয়াচকে বলেছেন, "দ্বি-গুণক প্রমাণীকরণ এবং অন্যান্য ব্যবস্থা পৃথক অ্যাকাউন্টগুলির বিরুদ্ধে হ্যাকগুলি হ্রাস করতে সহায়তা করবে But
এপি, অনেক অন্যান্য সংস্থার মতোই, সম্ভবত সারা দিন একাধিক কর্মচারী @AP এ পোস্ট করে ছিলেন। যে কোনও সময় টুইটারে পোস্ট করার চেষ্টা করলে কী হবে? প্রতিটি লগইন প্রয়াসের জন্য নিবন্ধিত ডিভাইস থাকা ব্যক্তির, এটি স্মার্টফোন বা একটি হার্ডওয়্যার টোকেনই হোক, দ্বিতীয়-ফ্যাক্টর কোড সরবরাহ করা প্রয়োজন requires স্থানে থাকা ব্যবস্থার উপর নির্ভর করে এটি প্রতিদিন, প্রতি কয়েক দিন বা যখনই কোনও নতুন ডিভাইস যুক্ত করা যেতে পারে।
ওয়ানআইডির সিএসও জিম ফেন্টন সিকিউরিটি ওয়াচকে বলেছেন, "এটি উত্পাদনশীলতার জন্য একটি দুর্দান্ত তাৎপর্যপূর্ণ বাধা হয়ে দাঁড়িয়েছে।"
বলুন আমি @ সিকিউরিটিওয়াচে পোস্ট করতে চাই। দ্বি-ফ্যাক্টর কোডটি পেতে আমাকে আইএম বা আমার সহকর্মীকে ফোন করতে হবে যারা অ্যাকাউন্টটি "মালিকানাধীন" করেছেন। অথবা আমার 30 দিনের জন্য লগ ইন করতে হয়নি কারণ আমার ল্যাপটপটি অনুমোদিত ডিভাইস ছিল তবে এখন এটি 31 তম দিন। এবং সপ্তাহান্তে। সম্ভাব্য সামাজিক ইঞ্জিনিয়ারিং খনি ক্ষেত্রগুলি কল্পনা করুন।
"সহজ কথায় বলতে গেলে, দ্বি-গুণক প্রমাণীকরণ মানুষকে রক্ষার জন্য যথেষ্ট হতে পারে না, " সুলিভান বলেছিলেন।
দ্বি-ফ্যাক্টর প্রমাণীকরণ কোনও নিরাময়যোগ্য নয়
দ্বি-ফ্যাক্টর প্রমাণীকরণ একটি ভাল জিনিস, একটি শক্তিশালী সরঞ্জাম, তবে এটি ফিশিং আক্রমণ প্রতিরোধের মতো সবকিছু করতে পারে না, বলেছেন ফেন্টন। প্রকৃতপক্ষে, সাধারণ দ্বি-ফ্যাক্টর প্রমাণীকরণ সমাধানের অধীনে, ব্যবহারকারীরা সহজেই এটি উপলব্ধি না করেই অ্যাক্সেসের অনুমোদনের দিকে ঝুঁকতে পারে, ফেন্টন বলেছিলেন।
ভাবুন আমি যদি আমার বসকে টেক্সট করে থাকি: @ সিকিউরিটিওয়াচে লগইন করতে পারি না। আমাকে একটি কোড পাঠান?
দ্বি-ফ্যাক্টর প্রমাণীকরণ কোনও অ্যাকাউন্টে ফিশ করা আরও কঠিন করে তোলে, তবে আক্রমণটিকে সফল হতে বাধা দেয় না, বলে ফিশ্মের হিগি বলেছে। সংস্থা ব্লগে, ফিশমি চিত্রিত করেছেন কীভাবে ফিশিং দ্বি-ফ্যাক্টরকে বাইপাস করে কেবল আক্রমণ উইন্ডোটিকে সঙ্কুচিত করে।
প্রথমে, ব্যবহারকারী ফিশিং ইমেলের একটি লিঙ্কে ক্লিক করে একটি লগইন পৃষ্ঠায় অবতরণ করে এবং জাল ওয়েবসাইটে সঠিক পাসওয়ার্ড এবং বৈধ দ্বি-গুণক কোড প্রবেশ করে। এই মুহুর্তে, আক্রমণকারীটিকে বৈধ লগইন শংসাপত্রগুলির মেয়াদ শেষ হওয়ার আগেই লগ ইন করতে হবে। আরএসএ টোকেন ব্যবহার করে সংগঠনগুলি প্রতি 30 সেকেন্ডে একটি কোড পুনরায় জেনারেট করতে পারে তবে সোশ্যাল মিডিয়া সাইটের জন্য মেয়াদ শেষ হওয়ার সময়টি কয়েক ঘন্টা বা কয়েক দিন দূরে থাকতে পারে।
"এটি টুইটারের প্রমাণীকরণের আরও দৃ layer় স্তর প্রয়োগ করা উচিত নয় এটি নয়, তবে এটি আরও কতদূর যেতে হবে এই প্রশ্নও উত্থাপন করে?" হিগবি বলেছেন, টুইটারটি মূলত গ্রুপ ব্যবহারের জন্য তৈরি করা হয়নি।
রিসেটগুলি একটি বড় সমস্যা
সামনের দরজায় দ্বি-ফ্যাক্টর প্রমাণীকরণ কার্যকর করার অর্থ যদি পিছনের দরজাটিতে একটি ক্ষুদ্র লক থাকে - পাসওয়ার্ড পুনরায় সেট করার একটি দুর্বল প্রক্রিয়া squ "আপনার অ্যাক্সেস অ্যাক্সেস তৈরি করতে এবং পুনরুদ্ধার করতে আপনার মায়ের প্রথম নাম হিসাবে ভাগ করা গোপনীয়তা ব্যবহার করা হ'ল আজকের প্রমাণীকরণ পদ্ধতির অ্যাকিলিস হিল, " ফেন্টন বলেছিলেন।
আক্রমণকারী যখন ব্যবহারকারীর নামটি জানবে তখন পাসওয়ার্ড পুনরায় সেটগুলি পুনরায় সেট করা ইমেলটিকে বাধা দেওয়ার বিষয়। এর অর্থ ইমেল অ্যাকাউন্টে বিভক্ত হওয়া, যা খুব ভালভাবে ঘটতে পারে।
পাসওয়ার্ডের ইঙ্গিত প্রশ্নগুলির নিজস্ব সমস্যা থাকলেও, টুইটার এমনকি তাদের পুনরায় সেট প্রক্রিয়াটির অংশ হিসাবে তাদের অফার করে না। যে কারও প্রয়োজন সবার নাম হ'ল ব্যবহারকারী নাম। "আমার পাসওয়ার্ডটি পুনরায় সেট করার জন্য ব্যক্তিগত তথ্য প্রয়োজন" বিকল্পের বিকল্প থাকা অবস্থায়, কেবলমাত্র অতিরিক্ত তথ্য সহজেই পাওয়া যায় এমন ইমেল ঠিকানা এবং ফোন নম্বর।
"টুইটার অ্যাকাউন্টগুলি হ্যাক হয়ে যাওয়া অব্যাহত রাখতে চলেছে, এবং টুইটারকে কেবলমাত্র দ্বি-গুণক নয়, ব্যবহারকারীদের সুরক্ষার জন্য বিভিন্ন কাজ করা দরকার, " সুলিভান বলেছিলেন।