Перебор кода смены пароля для Facebook.com
Считается, что привязка аккаунта в том или ином онлайн-сервисе к телефонному номеру увеличивает степень защиты этого аккаунта от перехвата. С Facebook недавно обнаружилась показательная уязвимость, очередной раз подтверждающая, что это не всегда так.
Описанная Пракашем атака основывается на используемом в Facebook механизме смены пароля. Желая изменить его, пользователь должен сообщить администрации свое имя, имя учетной записи, а также адрес электронной почты и номер телефона. На этот номер высылается 6-значный цифровой код, ввод которого и позволяет сменить пароль.
Нетрудно догадаться, что этот 6-значный код был подвержен простому перебору: попытки подбора блокировались только в основной системе авторизации, а тестовые площадки – позволяли проверять коды без ограничений. Сам по себе замечателен тот факт, что программная система Facebook не разделяла должны образом базы авторизации пользователей между тестовым и рабочим окружением, но вполне разделяла сами системы авторизации, урезая защиту (при тех же паролях; да, понятно, что пароли там вряд ли можно разделить, но это не означает, что нужно отказаться от части средств их защиты).
Что касается привязки к телефону: если бы схема изменения пароля не включала телефонный номер, то в ней вряд ли возник бы простейший цифровой код, обладающий большим “весом” в составе авторизующего набора реквизитов. Хотя, с другой стороны, в SMS можно передавать и сложные алфавитно-цифровые коды, но этот вариант не реализовали (скорее всего, причина банальная: “пользователям трудно набирать”).
Адрес записки: https://dxdt.ru/2016/03/11/7867/
Похожие записки:
- Статья о технологии Encrypted Client Hello
- CVE-2024-3661 (TunnelVision) и "уязвимость" всех VPN
- TOR и анализ трафика в новостях
- Криптографическая библиотека для Arduino: дополнение для новых IDE
- Реплика: перемешивающие сети Google и фильтрация
- Сервис проверки настроек веб-узлов
- Экспериментальный сервер TLS 1.3: замена сертификатов
- Статья о Certificate Transparency
- Реплика: GPS и "только приёмник"
- Боты AI
- IP-адреса и октеты