Oh-Oh! L'authentification multifacteur de TikTok peut être contournée dans les navigateurs

TikTok fonctionne toujours bien malgré la tension entourant l'avenir de l'application aux États-Unis. Cependant, il y a un problème important avec une excellente fonctionnalité de sécurité que l'application a ajoutée en août. L'authentification multifacteur de Tiktok peut facilement être complètement ignorée si vous vous connectez à la plate-forme à l'aide d'un navigateur Web.

TikTok, ajoutant enfin une forme d'authentification à deux facteurs, a été annoncé comme une nouvelle fonctionnalité formidable et indispensable plus tôt cette année. Cependant, il s'avère que l'authentification multifacteur n'entre en jeu que si TikTok est utilisé sur un téléphone mobile. En effet, cela signifie que si des acteurs malveillants se procurent les informations de connexion d'un utilisateur , ils peuvent accéder à leur compte simplement en se connectant via un navigateur, évitant complètement l'étape MFA.

TikTok a brièvement déclaré qu'il avait l'intention d'étendre sa fonctionnalité MFA pour couvrir l'utilisation du navigateur Web dans un proche avenir.

Heureusement, même si une attaque supposée a réussi à prendre le contrôle d'un compte TikTok via l'exploit de saut MFA du navigateur, les choses ne sont pas aussi effrayantes qu'elles le paraissent. Le tableau de bord Web disponible dans la version navigateur de la plate-forme a des fonctionnalités limitées par rapport à la version mobile. Par exemple, la reprise complète du compte via un changement de mot de passe n'est pas possible. Ce type d'accès et de fonctionnalité n'est présent que dans l'application mobile.

Cependant, les mauvais acteurs pourraient toujours utiliser le compte compromis pour publier des clips vidéo à travers celui-ci, propager des escroqueries ou essayer de compromettre l'utilisateur d'une autre manière. Ces options relativement limitées ne sont pas sans conséquence, car une éventuelle prise de contrôle en masse de comptes peut être utilisée pour lancer des escroqueries bien organisées et propager de fausses nouvelles.

Un autre problème qui a été découvert avec le tableau de bord Web est qu'un utilisateur sur mobile ne reçoit aucune sorte de notification indiquant que son compte est actuellement utilisé sur un navigateur. Espérons que cela sera résolu à l'avenir, avec le correctif MFA pour les navigateurs.

Pourquoi vous devriez utiliser MFA chaque fois que vous le pouvez

L'authentification multifacteur est devenue une mesure de sécurité supplémentaire relativement répandue que les plates-formes offrent à leurs utilisateurs. L'authentification multifacteur oblige généralement quiconque tente de se connecter à un compte à fournir une clé ou un jeton de sécurité spécial, souvent transmis par SMS à un numéro d'appareil mobile connu et fiable. Cela limite considérablement la probabilité que de mauvais acteurs forcent les mots de passe ou utilisent des informations d'identification par hameçonnage pour prendre le contrôle de comptes sur n'importe quelle plate-forme, car une étape supplémentaire est introduite qui nécessite l'accès au téléphone mobile de l'utilisateur.

Cela ne signifie pas que MFA offre une sécurité à 100% contre les attaques, car il y a eu des cas connus de contournement de certaines implémentations de MFA. Malgré cela, c'est un outil qui doit toujours être utilisé lorsqu'il est disponible car il réduit considérablement le risque pour votre compte sur une plate-forme donnée.

September 29, 2020
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.