Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Перебор кода смены пароля для Facebook.com
Считается, что привязка аккаунта в том или ином онлайн-сервисе к телефонному номеру увеличивает степень защиты этого аккаунта от перехвата. С Facebook недавно обнаружилась показательная уязвимость, очередной раз подтверждающая, что это не всегда так.
Описанная Пракашем атака основывается на используемом в Facebook механизме смены пароля. Желая изменить его, пользователь должен сообщить администрации свое имя, имя учетной записи, а также адрес электронной почты и номер телефона. На этот номер высылается 6-значный цифровой код, ввод которого и позволяет сменить пароль.
Нетрудно догадаться, что этот 6-значный код был подвержен простому перебору: попытки подбора блокировались только в основной системе авторизации, а тестовые площадки – позволяли проверять коды без ограничений. Сам по себе замечателен тот факт, что программная система Facebook не разделяла должны образом базы авторизации пользователей между тестовым и рабочим окружением, но вполне разделяла сами системы авторизации, урезая защиту (при тех же паролях; да, понятно, что пароли там вряд ли можно разделить, но это не означает, что нужно отказаться от части средств их защиты).
Что касается привязки к телефону: если бы схема изменения пароля не включала телефонный номер, то в ней вряд ли возник бы простейший цифровой код, обладающий большим “весом” в составе авторизующего набора реквизитов. Хотя, с другой стороны, в SMS можно передавать и сложные алфавитно-цифровые коды, но этот вариант не реализовали (скорее всего, причина банальная: “пользователям трудно набирать”).
()
Похожие записки:
- "Пасхалки" в трафике
- Браузеры и перехват TLS без участия УЦ
- Удостоверяющий центр TLS ТЦИ
- Статья: DNS в качестве инструмента публикации вспомогательной информации
- "Яндекс.Браузер" и российские сертификаты TLS в вебе
- TLS для DevOps
- Обновление описания TLS
- Смартфон-шпион: восемь лет спустя
- Статья о технологии Encrypted Client Hello
- "Авторизованный трафик" и будущее Интернета
- Ретроспектива заметок: деанонимизация по географии
- Про цепочки, RSA и ECDSA
- Доверенные программы для обмена сообщениями
- Интернет-протокол "дымовой завесы"
- TLS-сертификаты dxdt.ru