Taggat med: 2FA

Reddit hackade

Reddit som är en av världens största webbsajter (plats 6 enligt Alexa) har hackats. Intrånget genomfördes via tvåfaktors-återställningskoder som skickas ut via SMS. Denna typ av tillvägagångssätt blir vanligare och vanligare vilket har fått NIST att ej längre rekommendera just 2FA-återställning via SMS, vilket jag skrev om 2016.

Antagonisten som hackade Reddit kom åt nya E-postadresser, gällande en sammanfattning som skickades ut. Samt en databas med användarnamn och lösenord från 2007.

Om du använder Reddit och har samma användarnamn och lösenord sedan 2007 så kommer Reddit att varna dig. Jag tycker dock att Reddit ändå bör skicka ut en varning till samtliga användare eftersom lösenord kan användas på flera sajter.

Reddit har även anställt en Head of Security samt söker personal till flertalet befattningar såsom:

Mer info hos Reddit i /announcements.

Nya lösenordsrekommendationer från NIST: Ju längre desto bättre

Den amerikanska myndigheten NIST släppte nyligen uppdaterade rekommendationer gällande hantering av lösenord. Dessa uppdaterade rekommendationer kommer precis lagom till det att SVT Dold uppdagat att massor av läckta lösenord och användaruppgifter finns på nätet att tanka ner. Många av dessa läckta lösenord är så klart hashade eller krypterade som i fallet med Adobe (läs här hur du knäcker lösenord).

Dessa nya rekommendationer från NIST innehåller bl.a. att användare ska ges möjlighet att välja lösenord upp till 64 tecken. Även ska lösenord tillåtas att innehålla specialtecken såsom unicode, space och emojis.

En annan bra sak är att rekommendationerna från NIST anser att du bör kontrollera de lösenord som användaren anger mot listor med vanligt förekommande lösenord. Samt så bör du ta bort password hints och Knowledge-based authentication (KBA) såsom frågor ”din moders ogifta efternamn”, ”din förstfödde hunds bästa kompis”.

Minst 32 bitar slumpad salt ska användas samt en hashfunktion godkänd av NIST såsom PBKDF2 och med minst 10,000 iterationer.

Dokumentet innehåller även en hel del andra vettiga saker såsom att SMS för 2FA inte bör användas (troligtvis pga SS7 attacker och nummerportabilitet mellan operatörer).

Avsnitt 2 av SVT Dold kan du se här: www.svtplay.se/video/11171365/dold/dold-sasong-2-avsnitt-2

Uppdatering: SVT har av någon anledning tagit bort avsnittet.

Ny attack mot Googles tvåfaktorsautentisering (2FA)

Google 2fa

En ny attack som försöker lura användare att skicka vidare sin unika 2FA-inloggningskod (token) har uppdagats av Alex MacCaw på Clearbit. Just denna attack försöker lura användare av Googles tjänster såsom Gmail.

Allt eftersom fler och fler börjar att använda 2FA så kommer även denna typ av attacker att bli allt vanligare.

Skärmdump på hur meddelandet kan se ut:

Google 2FA Attack

Till Android har det även rapporterats tidigare om skadlig kod som automatiskt kan skicka vidare SMS. Detta skrev ESET om i Mars 2016.

📱 Apple genomför säkerhetshöjande åtgärder

Apple säkerhet

Apple meddelande på det senaste WWDC-eventet att de nu avser att genomföra ett antal säkerhetshöjande åtgärder inom snar framtid eller i iOS 9 som nu är ute i beta-version.

Några av dessa åtgärder omfattar följande fyra:

1. HTTPS som standard i Appar – Appar nu måste specifikt be om tillstånd för att använda http. Detta är som ett led att få alla appar att köra krypterad kommunikation över https. Denna åtgärd gäller från och med iOS version 9.

2. Förbättrad PIN – Den som använder PIN-kod för att låsa sin iPhone etc måste nu använda minst 6 siffror i sin kod istället för 4 som var standard tidigare. Detta ökar sökrymden från 10000 till en miljon olika kombinationer för den som försöker forcera koden. Att använda siffror som PIN-kod kommer dock fortfarande inte att krävas.

Och för den som vill höja säkerheten mer bör stänga av funktionen ”enkelt lösenord” och istället använda ett lösenord bestående av både siffror och bokstäver. Läs även vad Anne-Marie Eklund-Löwinder skrev om hur man skapar ett bra lösenord här.

3. 2FA – Nytt gränssnitt för tvåfaktorsautentisering som kopplar inloggningen mot en fysisk plats för inloggningsgodkännande:

iCloud 2FA4. VPN API – Detta är en synnerligen intressant ny funktion. Med detta nya API för VPN-anslutningar så medges appar att skapa up VPN och krypterade proxyanslutningar vilket troligtvis öppnar upp för Tor och OpenVPN. Även så har OpenVPN fått förhandsåtkomst till detta API som nu öppnas upp för alla (se appen OpenVPN Connect).

Även så har Cisco AnyConnect använt detta odokumenterade API sedan många år.