提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

在TikTok为其用户推出多因素身份验证（MFA）一个月后，ZDNet的一位读者发现，该公司的新安全功能只对移动应用程序启用，而不是对其网站启用。

TikTok MFA实现中的这一失误为恶意威胁参与者通过登录绕过MFA打开了大门TikTok的一位发言人表示，公司计划在未来扩大MFA，以覆盖其官方网站。

同时，TikTok的一位发言人表示，该公司计划扩大MFA，以覆盖其官方网站。

同时，出于安全原因为其TikTok帐户启用MFA的用户不应降低警惕并重用其他帐户的密码，认为MFA阻止了所有攻击者。这些用户应该继续使用复杂且难以猜测的密码。

TikTok web dashboard的功能有限

然而，虽然这在技术上是一种“MFA绕过”，但由于TikTok用户在web仪表板中可用的选项有限，该问题也不像听起来那么危险。

例如，即使攻击者管理要想猜测或欺骗TikTok用户以获取其帐户凭据，攻击者无法通过web仪表板更改用户的密码来完全劫持帐户。

他们可以使用的唯一有意义的选项是上载&；发布视频以损坏用户的帐户或推广诈骗

然而，仅仅因为他们不能劫持帐户，这并不意味着该帐户是无用的。例如，攻击者可以发起大规模的诽谤活动来宣传各种各样的话题，从诈骗到政治宣传https://medium.com/fliction-burns/dear-facebook-228a34b7dee7“target=”Βblank“rel=”noopener noreferrer nofollow“data component=”externalLink“>Facebook和Instagram上曾发生过这样的事件今年，安全研究员Zach Edwards在本周的电子邮件采访中告诉ZDNet。一名神秘黑客闯入Facebook和Instagram账户，将用户的头像换成了ISIS旗帜的图像，在被Facebook的图像识别算法标记后，账户被暂停并锁定，这使得账户恢复对于被黑客攻击的用户来说是一个痛苦而漫长的过程，爱德华兹还提出了其他问题。

“如果用户在设置帐户时，TikTok实际上没有为某个帐户启用双因素安全性，那么它会提出这样一个问题：手机号码是否被用于其他用途，“爱德华兹说。

“众所周知，Facebook和其他公司滥用双因素短信注册，一个明显的迹象表明，TikTok也做了类似的事情，那就是TikTok 2-factor是一种错觉，当使用网站登录功能时，这是完全可选的。“

也需要修复“活动会话”页面

好消息是，TikTok确实打算解决此问题。然而，还有几个问题需要解决。

让我们注意到这个问题的ZDNet读者也指出，TikTok移动应用程序无法从web仪表板实时显示会话。以目前的形式，这意味着，当有人使用其凭据通过浏览器访问其TikTok帐户时，TikTok不会向用户发出警告。

，即使TikTok当前的MFA实现中存在漏洞，这并不意味着用户不应该使用它。事实上，他们绝对应该使用它

MFA是一种安全措施，它强制正在访问帐户的用户在提供用户名和密码。这个因素通常可以是通过短信或电子邮件发送的一次性代码，一种生物识别解决方案，或由安全密钥提供的加密令牌。

许多在线公司提供MFA作为第二层身份验证，以防止帐户所有者的凭据被第三方泄露或获取。

TikTok上个月在8月向其8亿用户群推出了基于短信和电子邮件的MFA。该功能在应用程序中称为两步验证（2SV）“设置”页，用户可以通过以下步骤启用它https://support.tiktok.com/en/privacy-safety/keeping-your-account-secure-default？keyword=security“target=”nu blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>在这里，

公司还要求用户默认使用复杂的密码，并“鼓励用户定期更新密码，避免跨平台使用相同的密码”。

此外，web登录页面也受到验证码字段的保护，这严重增加了成功填充凭证或其他形式的自动攻击的门槛。

但要明确的是，其他社交媒体应用程序，如Facebook、Twitter、Instagram等，在其web仪表板上支持MFA，此安全功能应适用于所有服务，而不仅仅是移动应用程序。

CISA称一名黑客违反了联邦机构的规定

twitter通过新的安全培训为美国大选做准备，通过注册，渗透测试

，您同意
2023-03-22 10:04:20