Sikkerhetsforsker har oppdaget en feil som kan omgå PayPals to-faktor autentisering i noen tilfeller.
Alt man trenger for å utnytte svakheten er å forandre en informasjonskapsel (cookie) i nettleseren. Ved å gjøre det kan man logge inn på kontoen ved å bruke brukernavn og passord, selv om brukeren har skrudd på to-faktor autentisering.
Svakheten omgår altså kun den ekstra sikkerheten man kan skru på, angriper trenger fortsatt brukernavn og passord. Man får altså samme sikkerhet som de som ikke har skrudd på to-faktor autentisering.
PayPal jobber med en løsning på problemet og sier at brukere ikke trenger å gjøre noe for å sikre seg.
Hva er to-faktor autentisering?
Autentisering kan skje på tre forskjellige måter:
- Brukeren vet noe (som passord)
- Brukeren har noe (som mobiltelefon)
- Brukeren er noe (som fingeravtrykk)
To-faktor autentisering krever rett og slett to av disse faktorene, vanligvis passord og noe du har.
NorSIS anbefaler
Flere og flere nettsteder har startet å støtte to-faktor autentisering. Mange er vant med to-faktor autentisering fra nettbanken, man trenger kodebrikke og passord for å logge inn.
Andre nettsider som støtter to-faktor autentisering benytter ofte mobiltelefonen eller en annen enhet som brukere allerede har, da dette er mer kostnadseffektivt.
Selv om man noen ganger finner svakheter i disse mekanismene, så gir det betydelig bedre sikkerhet. Du bør bruke det der det er mulig, spesielt på viktige eller sensitive kontoer.
Les mer
- Hos arstechnica.com.
- Les OUCH! nyhetsbrev om to-faktor autentisering hos securingthehuman.org. (PDF)
- Liste over nettsider som støtter to-faktor autentisering hos lifehacker.com.