Twitter actualmente utiliza OAuth como protocolo de autenticación a través de aplicaciones (ya sean aplicaciones móviles y otros servicios web), lo que evita a los atacantes la grabación y reproducción de información de la sesión tratando de robar las sesiones abiertas de los usuarios. Para la autenticación de usuario directo, Twitter utiliza Secure Socket Layer (SSL) para pasar las credenciales de usuario de navegadores web y otros clientes de Twitter.
Estas medidas protegen las contraseñas de los usuarios y que las sesiones sean directamente interceptadas y tomadas en la mayoría de los casos. Pero no protege del "man-in-the-middle" donde un punto de acceso malicioso o firewall usando un proxy intercepta el tráfico web encriptado SSL. Los piratas informáticos han acaparado las credenciales de los usuarios de Twitter en el pasado a través de páginas web maliciosas usando cross-site scripting, el "phishing" vía correo electrónico, y otros medios.
Se señala que la autenticación de dos factores agrega una capa extra de seguridad a cualquier servicio, alertando eficazmente el verdadero propietario cuando se hacen intentos de secuestrar la cuenta.
Cuando se realiza un intento para iniciar sesión, en una cuenta, desde un dispositivo, nueva aplicación, o lugar `desconocidos´ (como lo indica la dirección IP), un sistema de autenticación de dos factores impedirá el inicio de sesión. Un código será enviado al teléfono móvil del usuario registrado, y sólo cuando éste haya sido introducido en la página de autenticación, y se el sistema comprueba que es igual al enviado, se permitirá el acceso a la cuenta.
Sin embargo, y como se informa en ars tecnica, la "autenticación de dos factores" no es una panacea para la seguridad del usuario, y citan el caso de Mat Honan de Wired, donde "los atacantes fueron capaces de utilizar la información disponible públicamente para convencer de Apple eran Honan para que pudieran "recuperar" su cuenta y restablecer sus contraseñas AppleID".
Fuentes:
- Twitter looks to add two-factor authentication to stop password hacks. ars tecnica. 05/02/2013.
- Twitter to fight hacking by boosting login security. The Guardian. 04/02/2013.
No hay comentarios.:
Publicar un comentario
Bienvenido al blog y muchas gracias por su visita. Espero que el contenido sea de utilidad, interés y agrado.
Los comentarios están moderados. Antes de colocar un comentario lea bien las condiciones, tenga en cuenta que no se permitirán comentarios que:
- sean anónimos y/o posean sólo un nickname.
- no estén vinculados a una cuenta.
- posean links promocionando páginas y/o sitios.
- no se admite propaganda de ningún tipo
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y
palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia.
Este Blog ni su autor tiene responsabilidad alguna sobre comentarios de terceros, los mismos son de exclusiva responsabilidad del que los emite. De todas maneras, por responsabilidad editorial me reservo el derecho de eliminar aquellos comentarios que considere inadecuados, abusivos, injuriantes, discriminadores y/o contrarios a las leyes de la República Argentina.