Luego que Twitter sufriera un hackeo el fin de semana, que vulneró unas 250.000 cuentas de la red social, la compañía estaría buscando implementar un sistema de autenticación de dos pasos para evitar esta situación en el futuro.
Al menos eso se deduce de las ofertas de empleo publicadas por Twitter esta semana, donde se solicita a ingenieros que desarrollen “características de seguridad para los usuarios, como autenticación por múltiples factores y detección de ingresos fraudulentos”.
Actualmente, Twitter utiliza OAuth como protocolo de autenticación a través de aplicaciones, que permite evitar que atacantes almacenen y reproduzcan información de una sesión para tratar de apoderarse de la cuenta de un usuario. Para la autenticación directa, Twitter utiliza cifrado secure socket layer (SSL) para transferir la información desde los navegadores y otros clientes.
En la mayoría de los casos, estas medidas son suficientes para proteger las contraseñas y sesiones de usuarios para que no sean interceptados. Sin embargo, los ataques tipo “man in the middle” siguen siendo efectivos. En esta maniobra, el atacante se sitúa entre las comunicaciones de ambos lados (digamos, entre el navegador y Twitter), haciéndole creer a cada lado que están en comunicación directa, cuando en realidad está interceptando los datos. Otros intentos de obtener contraseñas que también han sido exitosos han sido ataques de phishing, sitios maliciosos que utilizan cross-site scripting, etc.
La verificación de dos factores ayuda a prevenir muchos de estos ataques, y en la actualidad ha sido implementada por Google, Microsoft y Dropbox para varios de sus servicios. La forma más popular es a través de un mensaje de texto a un número de teléfono de confianza, donde se envía una segunda clave para confirmar el ingreso cuando entras desde una IP o equipo desconocido.
Puede resultar una molestia, pero hasta que no se invente otra forma de lidiar con las contraseñas, es posiblemente la mejor forma de estar seguro.
Link: Twitter looks to add two-factor authentication to stop password hacks (ArsTechnica)
