Από σήμερα, το Twitter απενεργοποιεί τον έλεγχο ταυτότητας δύο παραγόντων βάσει SMS (2FA) για όλους εκτός από τους χρήστες που πληρώνουν, μετά από μια απόφαση που, σε αντίθεση με άλλες πρόσφατες κινήσεις του κολοσσού των κοινωνικών μέσων, έχει αντιμετωπιστεί με διαμάχη που έχει αντηχήσει πολύ πέρα ​​από το Twitterverse.

"Ενώ ιστορικά μια δημοφιλής μορφή 2FA, δυστυχώς, έχουμε δει το 2FA που βασίζεται σε αριθμούς τηλεφώνου να χρησιμοποιείται - και να γίνεται κατάχρηση - από κακούς ηθοποιούς." αναφέρει η ανακοίνωση του Twitter ανακοινώνοντας την αλλαγή στα μέσα Φεβρουαρίου.

Με τα χρόνια, η εταιρεία και πολλοί από τους χρήστες της – συμπεριλαμβανομένου του κάποτε Διευθύνοντος Συμβούλου του Twitter, Τζακ Ντόρσεϊ – έχουν μάθει με τον δύσκολο τρόπο ότι οι αριθμοί τηλεφώνου δεν κάνουν καλά αναγνωριστικά και τα μηνύματα κειμένου είναι ευάλωτα στην αεροπειρατεία.

Fast forward (σχεδόν) στο παρόν και στον σημερινό CEO της πλατφόρμας Ο Έλον Μασκ είχε να πει αυτό σχετικά με την κατάργηση του 2FA από το Twitter: «Το Twitter εξαπατάται από εταιρείες τηλεφωνίας για 60 εκατομμύρια $/έτος πλαστά μηνύματα SMS 2FA».

Πριν πείτε «καλή απαλλαγή από το SMS 2FA», ωστόσο, σκεφτείτε ότι η χρήση οποιασδήποτε μεθόδου 2FA είναι πολύ καλύτερη από το να βασίζεστε μόνο στον κωδικό πρόσβασής σας. Αυτό θέτει στη συνέχεια το ερώτημα: έχετε προετοιμαστεί για την κατάργηση του δωρεάν SMS 2FA ώστε να αποφύγετε να βάλετε το Twitter σας λογαριασμός διατρέχει αυξημένο κίνδυνο πειρατείας? Τις τελευταίες εβδομάδες, το Twitter ωθεί τους χρήστες να απομακρυνθούν και να ακολουθήσουν μια άλλη μέθοδο σύνδεσης δύο βημάτων, αλλά αν δεν έχουν κάνει τη δουλειά τους, τώρα είναι πραγματικά η ώρα να δράσουμε.

Δείτε πώς μπορείτε να βελτιώσετε την ασφάλεια του λογαριασμού σας στο Twitter χωρίς SMS 2FA – και να τον διατηρήσετε πιο ασφαλή από ποτέ. Ακόμα κι αν ανήκεις στο 0.2 τοις εκατό των χρηστών του Twitter όσοι πληρώνουν για συνδρομές στην πλατφόρμα, συνεχίστε να διαβάζετε – πολλές από αυτές τις συμβουλές μπορεί πραγματικά να σας φανούν χρήσιμες.

Πώς λειτουργεί ο έλεγχος ταυτότητας 2FA – και πώς αποτυγχάνει

Όπως ίσως γνωρίζετε μέχρι τώρα, το 2FA προσθέτει ένα πολύτιμο επίπεδο προστασίας στον λογαριασμό σας και είναι ιδιαίτερα χρήσιμο εάν κλαπεί ο κωδικός πρόσβασής σας. Είναι λυπηρό, λοιπόν, μόνο αυτό 2.6 τοις εκατό των ενεργών λογαριασμών Twitter είχε ενεργοποιημένη τουλάχιστον μία μέθοδο 2FA το δεύτερο εξάμηνο του 2021 (από ακόμη πιο πενιχρή 2.3 τοις εκατό ένα χρόνο πριν). Από αυτά, τα τρία τέταρτα χρησιμοποίησαν μηνύματα κειμένου ως δεύτερο παράγοντα ελέγχου ταυτότητας.

Αυτή η μορφή 2FA – η οποία αναπτύχθηκε για πρώτη φορά στα μέσα της δεκαετίας του 1990 (τότε χρησιμοποιούσαν τηλεειδοποιητές για αυτό) – έχει γίνει μακράν η πιο δημοφιλής μέθοδος 2FA σε πλατφόρμες ηλεκτρονικού ταχυδρομείου και κοινωνικών μέσων, ηλεκτρονικά καταστήματα και τράπεζες.

Προφανώς, απλώς η αναμονή ενός κειμένου με έναν κωδικό και η εισαγωγή του κωδικού μετά την εισαγωγή του κωδικού πρόσβασής σας είναι ένας βολικός τρόπος για να βελτιώσετε την ασφάλεια του λογαριασμού σας. Όμως, ενώ οποιοσδήποτε δεύτερος παράγοντας είναι πολύ καλύτερος από κανένας, το 2FA μέσω μηνυμάτων κειμένου είναι γνωστό από καιρό ότι είναι επιρρεπές σε διάφορες επιθέσεις, καθώς τα εισερχόμενα κείμενα δεν είναι κρυπτογραφημένα και μπορούν να υποκλαπούν, να διαβαστούν ή να ανακατευθυνθούν από αποφασισμένους εισβολείς με σχετική ευκολία. Πίσω το 2016, το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας των Ηνωμένων Πολιτειών (NIST) ζήτησε τη σταδιακή κατάργηση του 2FA που βασίζεται σε SMS.

Τα τελευταία χρόνια έχει δει μια σειρά από αναφορές για εισβολείς που αποκτούν πρόσβαση σε διαδικτυακούς λογαριασμούς ανθρώπων ακολουθώντας, για παράδειγμα, επιτυχίες Απάτες ανταλλαγής SIM. Αυτές οι απάτες περιλαμβάνουν εγκληματίες που εξαπατούν τους παρόχους τηλεφώνων για να μεταφέρουν τον αριθμό τηλεφώνου του στόχου τους σε μια συσκευή υπό τον έλεγχό τους. Από εκεί, μπορούν να εισβάλουν στους τραπεζικούς λογαριασμούς των θυμάτων, στα μέσα κοινωνικής δικτύωσης και σε άλλους λογαριασμούς που χρησιμοποιούν τον ίδιο αριθμό τηλεφώνου για το 2FA. Κανείς άλλος από τον πρώην επικεφαλής του Twitter Jack Dorsey έπεσε θύμα αυτής της επίθεσης το 2019.

Με τα χρόνια, οι ερευνητές ασφαλείας, συμπεριλαμβανομένων εκείνων της ESET, έχουν βρει πολλά παραδείγματα κακόβουλου λογισμικού που είναι ικανό να παρακάμψει τις προστασίες 2FA των ανθρώπων.

Για παράδειγμα, πολύ πίσω το 2016, Οι ερευνητές της ESET εντόπισαν ένα Android banking trojan που έκλεβε τα διαπιστευτήρια σύνδεσης για 20 εφαρμογές mobile banking. Παρέκαμψε τους κωδικούς SMS, το κακόβουλο λογισμικό μεταβίβαζε όλα τα ληφθέντα μηνύματα κειμένου στους εγκληματίες. Τρία χρόνια αργότερα, η ESET ανακάλυψε κακόβουλες εφαρμογές που μοχλευμένες νέες τεχνικές για να διαβάζετε ειδοποιήσεις με κωδικούς πρόσβασης μίας χρήσης (OTP) που εμφανίζονται στην οθόνη της συσκευής.

Η προστασία 2FA και η στάση ασφαλείας του Twitter τέθηκε υπό έλεγχο το 2020 όταν επίθεση βισών στο προσωπικό της οδήγησε στο πειρατεία περίπου 130 λογαριασμών που ανήκουν σε εξέχουσες προσωπικότητες. Στο χακάρισμα, οι εισβολείς ανέτρεψαν τις προστασίες 2FA του Twitter και χρησιμοποίησαν τους λογαριασμούς των Μπαράκ Ομπάμα, Έλον Μασκ και Μπιλ Γκέιτς και άλλων για να διακινήσουν μια απάτη Bitcoin.

Για να διαπράξουν το χακάρισμα, οι εγκληματίες μιμήθηκαν τον νόμιμο ιστότοπο VPN του Twitter, όπου οι υπάλληλοι εισάγουν τα διαπιστευτήριά τους. Μόλις οι εισβολείς εισήγαγαν τα διαπιστευτήρια σύνδεσης στο πραγματικό VPN του Twitter και περίμεναν τους υπαλλήλους να λάβουν κωδικούς πρόσβασης μίας χρήσης. Μόλις τα θύματα συμπλήρωσαν τον κωδικό πρόσβασης στο ψεύτικο VPN, μπήκαν και οι χάκερ.

Λοιπόν, ποιες είναι οι επιλογές σας για 2FA στο Twitter τώρα;

Η χρήση δωρεάν εφαρμογών ελέγχου ταυτότητας για 2FA θα παραμείνει δωρεάν και είναι πολύ πιο ασφαλής από τα SMS https://t.co/pFMdxWPlai

- Elon Musk (@elonmusk) Φεβρουάριος 18, 2023

Υπάρχουν δύο άλλοι κύριοι τύποι ελέγχου ταυτότητας 2FA που υποστηρίζει το Twitter και είναι πιο ασφαλείς από τα μηνύματα κειμένου.

Αρχικά, μπορείτε να χρησιμοποιήσετε μια εφαρμογή ελέγχου ταυτότητας στη συσκευή, όπως το Microsoft Authenticator ή το Google Authenticator, που παρέχει σταθερή ασφάλεια και είναι πιο ευέλικτο από ένα κλειδί υλικού (περισσότερα για αυτό αργότερα).

Οι εφαρμογές ελέγχου ταυτότητας δημιουργούν έναν κωδικό μίας χρήσης που χρησιμοποιείτε για να επιβεβαιώσετε την ταυτότητά σας όταν συνδέεστε σε έναν ιστότοπο ή μια εφαρμογή. Αυτό μπορεί να μην ακούγεται πολύ διαφορετικό από τον έλεγχο ταυτότητας SMS 2FA, αλλά το πλεονέκτημα της εφαρμογής είναι ότι αντί να σας αποστέλλεται κωδικός μέσω μηνύματος κειμένου, ο κωδικός εμφανίζεται στην εφαρμογή και συνδέεται απευθείας με τη συσκευή και όχι με τον αριθμό τηλεφώνου σας .

Ως συνέπεια, ο έλεγχος ταυτότητας που βασίζεται σε εφαρμογές περιπλέκει σημαντικά τα πράγματα για όποιον θέλει να διαβάσει ή να κλέψει τον κώδικά σας. (Κακόβουλο λογισμικό που μπορεί να κλέψει κωδικούς ελέγχου ταυτότητας δεν είναι πρωτάκουστο, ωστόσο.)

Εάν θέλετε να αυξήσετε ακόμη περισσότερο το παιχνίδι ασφαλείας σας, σκεφτείτε να λάβετε ένα κλειδί ασφαλείας υλικού που συνδέετε μέσω USB, NFC ή Bluetooth. Τα φυσικά κλειδιά παρέχουν υψηλό επίπεδο ασφάλειας, ειδικά επειδή οι κωδικοί δεν μπορούν να υποκλαπούν ή να ανακατευθυνθούν. Για να εισβάλουν στον λογαριασμό σας, οι εγκληματίες θα πρέπει να κλέψουν το κλειδί καθώς και να λάβουν τα διαπιστευτήρια σύνδεσής σας.

Ένα πιθανό μειονέκτημα είναι ότι πρέπει να μεταφέρετε το κλειδί κάθε φορά που θέλετε να συνδεθείτε. Επιπλέον, τα διαθέσιμα κλειδιά δεν υποστηρίζονται καθολικά από όλες τις συσκευές και τις πλατφόρμες. Επίσης, να είστε προετοιμασμένοι για τιμές που ξεκινούν από περίπου 25 $ ΗΠΑ. Πιο προηγμένες εκδόσεις, όπως αυτές με αναγνώριση δακτυλικών αποτυπωμάτων, ενδέχεται να σας κοστίσουν περισσότερο από 100$.

Τι άλλο μπορείτε να κάνετε για να βελτιώσετε την ασφάλειά σας στο Twitter;

Κατά την απομάκρυνση από το SMS 2FA, φροντίστε να ελέγξετε τις ρυθμίσεις ασφάλειας και απορρήτου του λογαριασμού σας. Μεταξύ άλλων, ορίστε έναν ισχυρό και μοναδικό κωδικό πρόσβασης (αν δεν τον χρησιμοποιείτε ήδη) και σκεφτείτε να τον πάρετε βήματα για να παραμείνετε ασφαλείς κατά τη χρήση της πλατφόρμας.

Και αν είστε ήδη ή σχεδιάζετε να γίνετε συνδρομητής του Twitter Blue, είναι ξεκάθαρο ότι καλύτερα να παρατήσετε το SMS 2FA υπέρ μιας εφαρμογής ελέγχου ταυτότητας ή ενός κλειδιού υλικού.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.welivesecurity.com/2023/03/20/twitter-free-sms-2fa-secure-account/