ובכן. קרדיט: מארק ווילסון/Getty Images
כשמדובר בחשבונות דוא"ל של הסנאט של ארצות הברית, אפשר היה לחשוב שהסמכויות שיהיו יקבעו תכונת אבטחה בסיסית שאפילו ל-Yahoo Mail ו-AOL אין.
שוקר: אתה טועה.
ראה גם:
בתורמכתב פתוח 20 באפרילמהסנאטור של אורגון, רון ווידן, מבהיר שלחשבונות הדוא"ל של הסנאט אין אפשרות לאפשר אימות דו-גורמי. כאילו, סנאטורים לא יכולים להפעיל את זה גם אם הם רוצים.
"כפי שאתה יודע, איומי אבטחת הסייבר והמודיעין הזר המופנים לקונגרס הם משמעותיים", כתב ווידן במכתב שהופנה לשני עמיתים בסנאט. "עם זאת, הסנאט נמצא הרחק מאחור בכל הנוגע ליישום שיטות אבטחת סייבר בסיסיות כמו אימות דו-גורמי".
מהו בעצם אימות דו-גורמי (2FA), ולמה זה משנה? בואו ניתן למומחים ב-Electronic Frontier Foundation להסביר.
"מערכות התחברות הדורשות רק שם משתמש וסיסמה מסתכנות בהישברות כאשר מישהו אחר יכול להשיג (או לנחש) את פיסות המידע הללו."מציין הארגון. "שירותים המציעים אימות דו-גורמי מחייבים אותך גם לספק אישור נפרד שאתה מי שאתה אומר שאתה. הגורם השני יכול להיות קוד סודי חד פעמי, מספר שנוצר על ידי תוכנית הפועלת במכשיר נייד, או מכשיר שאתה נושא ושתוכל להשתמש בו כדי לאשר מי אתה."
דוגמה קלה לתפיסה של 2FA היא כרטיס הכספומט הבנקאי שלך. על מנת למשוך מזומן אתה צריך את ה-PIN (משהו שאתה יודע) ואת הכרטיס עצמו (משהו שיש לך). שני הגורמים הללו משתלבים כדי לאפשר לך, ובתקווה רק לך, גישה לדולרים שהרווחת קשה.
הסנאטור רון ווידן פשוט לא מאמין לזה. קרדיט: Chip Somodevilla /Getty Images
עם 2FA מופעל, גם אם מישהו יקבל את סיסמת הדוא"ל שלך (כמו אולי רק דרך אמתקפת דיוג) הם עדיין חסרים את האישורים הדרושים כדי להיכנס לתיבת הדואר הנכנס שלך. זה נראה כמו משהו שחברי הסנאט של ארצות הברית והצוות שלהם יתעניינו בו, נכון?
מהירות אור ניתנת לריסוק
ובכל זאת.
"היום, הסנאט לא דורש ולא מציע אימות דו-גורמי כהגנה נוספת עבור מחשבים שולחניים וחשבונות דואר אלקטרוני", כותב Wyden. "סמל הסנאט בנשק אכן דורש אימות דו-גורמי לצוות המעוניין להיכנס למערכות ה-IT של הסנאט מהבית, באמצעות רשת פרטית וירטואלית. זהו צעד ראשון טוב, אבל הסנאט חייב ללכת רחוק יותר ולאמץ דו-גורמי אימות למקום העבודה, ולא רק לצוות המתחבר מהבית".
הצעת 2FA נתפסת לעתים קרובות כאחד מכמה מבחני לקמוס אבטחה בסיסיים עבור שירותים מקוונים. Gmail, Twitter, Facebook, AOL, ואפילו אתYahoo Mail המושמץ הרבההפוך את זה בקלות להפעיל - כלומר חשבון הדוא"ל של סבתא שלך הוא פוטנציאלי מאובטח יותר משל הסנטור שלך.
בעוד גוש המידע הקטן והמדכא הזה שוקע פנימה, ווידן מכה בנו עם מעקב שומט לסתות. הרשות המבצעת, אתם מבינים, מציעה לעובדים כרטיסי אימות אישיות (PIV) המכילים שבבים חכמים. השבבים פועלים כחלק ממערכת 2FA לכניסה לעובדים למחשבים. הסנאט מציע גם כרטיסי PIV, אומר לנו ווידן, אבל אין להם שבבים חכמים.
מה יש להם במקום?
"בניגוד לאימוץ הנרחב של הרשות המבצעת של כרטיסי PIV עם שבב חכם, ברוב תעודות הזהות של צוות הסנאט מודפסת תמונה של שבב, ולא שבב אמיתי".
נכון, צילום של שבב מודפס עליהם.
אז, לסיכום: חשבונות הדוא"ל של הסנאט אינם מוגנים על ידי 2FA, ולרוב תעודות הזהות של צוות הסנאט יש שבבים חכמים מזויפים.
הבא על הפרק, אנחנו מניחים, הוא הגילוי שהסיסמה לחשבון הדואר הקולי האישי של כל סנאטורים הוא רק "0000".
פרנואידית מקצועית. מכסה פרטיות, אבטחה וכל מה שקשור למטבעות קריפטוגרפיים ובלוקצ'יין מסן פרנסיסקו.
ניוזלטרים אלה עשויים להכיל פרסומות, עסקאות או קישורי שותפים. בלחיצה על הירשם, אתה מאשר שאתה בן 16+ ומסכים לנותנאי שימושומדיניות פרטיות.
