A Twitter által a múlt héten bevezetett, SMS küldésre alapuló két faktoros hitelesítést lehetővé rendszert felhasználva a támadók zárolni tudják a felhasználók fiókját, ha megszerzik azok belépési adatait, állítja a finn, antivírus szoftvereket gyártó F-Secure. A Twitter azért kapcsolta be ezt az extra biztonsági funkciót, mert a közelmúltban több, nagy visszhangot kiváltó feltörés történt, amely világszerte ismert cégek és szervezeteket érintett. Ha egy támadó megszerzi egy account adatait, amin nincs bekapcsolva a két faktoros hitelesítés, akkor egy saját (pl. kártyás) telefonszámra regisztrálhatja azt, így a fiók valódi tulajdonosa még egy jelszó reset-et sem tud végrehajtani, hanem előbb fel kell vennie a kapcsolatot a Twitter supporttal.

A Twitter szerdán jelentette be, hogy mostantól náluk is elérhető a két faktoros autentikáció, és ezzel beléptek a folyamatosan bővülő, biztonságosabb bejelentkezést használó webes szolgáltatások közé. A két faktoros autentikáció (two-factor authentication - 2FA) egy extra biztonsági réteget iktat be a weboldalra történő bejelentkezés menetébe, amelynek az első faktora a felhasználó jelszava, a második lépés pedig elméletileg lehetővé teszi, hogy jóval nagyobb biztonságban tudjuk a felhasználói fiókot. "A Twitter úgy döntött, hogy SMS-ben küldi el a második lépésben használatos biztonsági kódot", mondja John Oberheide a Duo Security biztonsági szakértője, aki szerint az SMS egy általános megoldás, mivel csak egy mobiltelefonra van szükség.

A Twitter mikroblog szolgáltató az elmúlt időszak eseményeire válaszul bemutatta a jóval biztonságosabb két faktoros hitelesítési metódusát. A Login Verification-nek nevezett rendszer minden egyes bejelentkezés alkalmával egy ellenőrző kódot küld a felhasználó mobil telefonjára. A bejelentkezést követően az SMS-ben kapott 6 jegyű számot kell egy ellenőrző ablakba beírni, és csak ezután lesz lehetőség arra, hogy ténylegesen hozzáférjenek a felhasználói fiókhoz. Az új metódust minden felhasználónak a saját beállításai közt kell engedélyeznie.

Az Associated Press Twitter fiókjának mostani feltörése után (amely szerencsére csak rövid ideig tartott) a hacker-ek által nyilvánosságra hozott hamis tweet-ek komoly hatással voltak a való világra, és úgy látszik, hogy ez fordulópontot jelent a Twitter életében is. A felhasználók és a biztonsági szakértők egyaránt sürgették a mikroblog szolgáltatót, hogy végre az is vezesse be a két faktoros hitelesítést, és a Wired információi szerint ez a pillanat nagyon hamar eljöhet, mivel a szolgáltatás már a tesztelés utolsó fázisában van.

A Microsoft két lépcsős ellenőrzésnek (two-step verification) nevezi az eljárást, amelyet minden olyan termékben és szolgáltatásban elérhetővé tesz, amit a Microsoft Account-on keresztül lehet igénybe venni (a Microsoft Account a Microsoft Live ID új elnevezése). Az érintett termék körébe tartozik a Windows, Windows Phone, Xbox, Outlook.com, SkyDrive, Office valamint egyéb szolgáltatások és szoftverek. A vállalat bejelentése szerint a bevezetés az következő napokban fog megtörténni. A két faktoros hitelesítés célja, hogy csökkentse a lehetőségét az online személyiség ellopásának, az adathalászatnak és más csalásoknak azáltal, hogy már nem elegendő csak a jelszó ahhoz, hogy egy csaló hozzáférjen az információkhoz.

A Microsoft megvásárolta a PhoneFactor nevű vállalkozást, amely két faktoros autentikációt megvalósító szoftvert készít, így a Windows-os mobil készülékek tulajdonosai biztonságosan tudják magukat azonosítani a különféle számítógépes rendszerekben. A telefon alapú autentikáció egy alternatíva lehet a fizikai token-eken alapulóval szemben. A PhoneFactor által készített program a token-eket a telefonon tárolja vagy olyan out-of-band szöveges üzenetekben, amelyekben lévő kódot be lehet gépelni egy weboldal bejelentkező felületébe vagy tetszőleges más rendszerbe. A szolgáltatás már használható számos Microsoft termék és szolgáltatás esetében, ide értve az Outlook Web Access és az Internet Information Services, illetve együtt tud működni az Active Directory-val.

Az online tárhelyet és fájl backup-ot kínáló Dropbox szolgáltatás hamarosan támogatni fogja a kétlépcsős autentikációt, hogy ezzel is növeljék a felhasználói fiókok biztonságát. A beígért változás kevesebb mint egy hónappal azután érkezik, hogy az egyik Dropbox alkalmazott fiókját feltörték, majd ezen keresztül számos Dropbox felhasználó email címét hozták nyilvánosságra. A Dropbox felhasználók belépés után a Security fülön tudják engedélyezni a szolgáltatást, amely segítségével mobil telefonra vagy valamilyen mobilos alkalmazásra elküldött időkorlátos, egyszer használható biztonsági kódot kapnak a szolgáltatás igénybevételekor.

Kiberbűnözők megtalálták a módját, hogy megkerüljék a két faktoros autentikációs rendszereket, amikkel védik az üzleti VPN kapcsolatokat, állítja a Trusteer biztonsági cég jelentése, amely egy olyan célzott támadásról számolt be, amit egy repülőtéri hálózat ellen használtak. Biztonsági okokból a Trusteer nem hozta nyilvánosságra a repülőtér nevét, de a támadás egy olyan összetett módszert követett, amelyben a Citadel trójai segítségével megszerezték az egyszer használatos jelszót (one-time password - OTP), amelyet a gateway autentikációs rendszer bocsátott ki. Az OTP a képernyőn megjelenő CAPTCHA-ba volt beágyazva.

Egy szövetségi tanácsadó bizottság támogatását fejezte ki az iránt, hogy a kórházak személyzete illetve egyéb olyan felhasználók, akik elektronikusan tárolt egészségügyi információkkal dolgoznak, több faktoros autentikációt használjanak az adatokkal való műveletekhez. Első körben meg kell vizsgálni, hogy mely műveletek igényelnek fokozott biztonságot. Ezek közül az egyik legfontosabb az, amikor az orvosok a kórháztól távol, például mobil eszközök felhasználásával dolgoznak.

A népszerű közösségi oldal, a Facebook kedden bejelentette, hogy bevezetik a két faktoros autentikáció lehetőségét a felhasználók számára, megnehezítve ezzel az illetéktelen fiókeltulajdonításokat.