Chiar dacă Twitter a sistat autentificarea gratuită prin mesaje text, acest lucru nu înseamnă că ar trebui să renunțați la utilizarea autentificării cu doi factori (2FA). În schimb, optați pentru o altă variantă mai bună de 2FA.
Începând cu data de 20 martie, Twitter a dezactivat 2FA prin SMS gratuit pentru toți utilizatorii, aceasta rămânând disponibilă doar contra cost. Decizia aceasta, asemenea altor acțiuni recente ale gigantului social media, a fost întâmpinată cu controverse care au reverberat cu mult dincolo de universul Twitter.
„Deși, din punct de vedere istoric, aceasta este o formă populară de 2FA, din păcate, am văzut cum autentificarea cu doi factori bazată pe numărul de telefon a fost folosită în scopuri rău intenționate de către infractorii cibernetici”, se arată în declarația de la mijlocul lunii februarie prin care Twitter a anunțat public schimbarea.
De-a lungul anilor, compania și mulți dintre utilizatorii săi - inclusiv fostul director executiv al Twitter, Jack Dorsey - au constatat faptul că numărul de telefon nu este o metodă bună de identificare, iar mesajele text sunt vulnerabile și pot fi deturnate de către actorii rău intenționați.
Actualul CEO al platformei, Elon Musk, a declarat următoarele despre renunțarea la 2FA de către Twitter: „Twitter este păgubit de către companiile de telefonie cu 60 de milioane de dolari/an prin intermediul mesajelor SMS cu coduri 2FA false”.
Totuși, înainte de a vă bucura că autentificarea cu doi factori prin SMS este de domeniul trecutului, gândiți-vă că utilizarea oricărei metode 2FA este mult mai bună decât să vă bazați doar pe parolă pentru autentificare în contul dvs. V-ați pregătit pentru dispariția 2FA gratuită prin SMS, astfel încât să evitați să vă expuneți contul de Twitter la un risc sporit de compromitere? În ultimele săptămâni, Twitter a încurajat utilizatorii să renunțe la 2FA prin SMS și să opteze pentru o altă metodă de autentificare în doi pași, iar dacă nu ați pus în practică acest lucru, acum este momentul să acționați.
Iată cum puteți îmbunătăți securitatea contului dvs. de Twitter fără utilizarea de 2FA prin SMS, astfel încât să stabiliți o reziliență cibernetică puternică pentru viitor. Chiar dacă faceți parte din cei 0,2 la sută dintre utilizatorii Twitter care plătesc abonamente pentru utilizarea platformei Twitter, vă invităm să parcurgeți acest articol, o mare parte din aceste sfaturi ar putea fi utile și pentru dvs.
Cum funcționează autentificarea 2FA și care sunt limitările sale
După cum probabil știți deja, 2FA adaugă un nivel valoros de protecție contului dvs. și aceasta este deosebit de utilă în cazul în care parola este compromisă. Prin urmare, este regretabil că doar 2,6% dintre conturile active de Twitter aveau cel puțin o metodă 2FA activată în a doua jumătate a anului 2021 (în creștere față de 2,3%, procent înregistrat în 2020). Dintre acestea, trei sferturi au folosit mesaje text drept al doilea factor de autentificare.
Această formă de 2FA, care a fost dezvoltată pentru prima dată la mijlocul anilor 1990 (pe atunci, se foloseau pagere), a devenit de departe cea mai populară metodă 2FA pe platformele de e-mail și de socializare, în magazine online și pentru aplicații ale instituțiilor bancare.
În mod evident, așteptarea unui mesaj text cu un cod și, mai apoi, introducerea parolei și a codului respectiv este o modalitate convenabilă de a vă spori securitatea contului. Cu toate acestea, deși orice metodă 2FA este mult mai bună decât niciuna, este cunoscut faptul că autentificarea cu doi factori prin SMS este o metodă vulnerabilă la diverse atacuri, deoarece SMS-urile primite nu sunt criptate și pot fi interceptate, citite sau redirecționate cu oarecare ușurință de către atacatori determinați. Încă din 2016, Institutul Național de Standarde și Tehnologie al Statelor Unite (NIST) a cerut ca 2FA prin SMS să fie eliminat treptat.
În ultimii ani au fost raportate numeroase cazuri în care s-a obținut fraudulos acces la conturile online ale oamenilor, de exemplu, în urma unor escrocherii de tip SIM swap. Aceste escrocherii presupun ca infractorii să păcălească operatorii de telefonie să porteze numărul de telefon al potențialelor victime pe un dispozitiv aflat sub controlul lor. De acolo, ei pot accesa conturile bancare, conturile pe rețelele de socializare și alte conturi ale victimelor care utilizează același număr de telefon pentru 2FA. Nimeni altul decât director executiv al Twitter, Jack Dorsey, a devenit o victimă a acestui tip de atac în 2019.
ARTICOL SIMILAR: 7 pași pentru a vă securiza contul de Twitter
De-a lungul anilor, cercetătorii în domeniul securității, inclusiv cei de la ESET, au găsit multe exemple de programe malware capabile să ocolească metodele de 2FA ale utilizatorilor.
De exemplu, în 2016, cercetătorii ESET au descoperit un troian bancar în sistemul Android care fura detaliile de conectare pentru 20 de aplicații bancare mobile. Acesta intercepta codurile SMS și transmitea infractorilor toate mesajele text primite de către victimă. Trei ani mai târziu, ESET a descoperit aplicații malițioase care se foloseau de noi tehnici pentru a citi notificările legate de parole de unică folosință (OTP - one time password) care apăreau pe ecranul dispozitivului.
Propriile metode 2FA și poziția de securitate a Twitter au fost analizate cu atenție în 2020, când un atac de tip vishing, ce a avut în vizor angajații Twitter, a dus la compromiterea a aproximativ 130 de conturi aparținând unor celebrități sau persoane publice. În cadrul breșei de securitate, atacatorii au ocolit securitatea și protecțiile 2FA ale Twitter și au folosit conturile lui Barack Obama, Elon Musk și Bill Gates și ale altora pentru a propaga o escrocherie legată de Bitcoin.
Pentru a comite atacul, infractorii au clonat site-ul VPN legitim al Twitter, unde angajații își introduc datele de autentificare. Apoi, atacatorii introduceau rapid datele de conectare în VPN-ul real al Twitter și așteptau ca angajații să primească o parolă de unică folosință (OTP). Odată ce angajații au completat parola în VPN-ul fals, hackerii au avut acces la contul lor.
Așadar, care sunt opțiunile 2FA disponibile în acest moment pe Twitter?
Use of free authentication apps for 2FA will remain free and are much more secure than SMS https://t.co/pFMdxWPlai
— Elon Musk (@elonmusk) February 18, 2023
Există alte două metode principale de autentificare cu doi factori pe care Twitter le acceptă și care sunt mai sigure decât mesajele text.
În primul rând, puteți utiliza o aplicație de autentificare pe dispozitivul dvs, cum ar fi Microsoft Authenticator sau Google Authenticator, care oferă o securitate solidă și este mai flexibilă decât o cheie de tip hardware.
Aplicațiile de autentificare generează un cod unic pe care îl utilizați pentru a vă confirma identitatea atunci când vă conectați la un site web sau la o aplicație. Acest lucru ar putea să nu sune prea diferit față de autentificarea 2FA prin SMS, dar avantajul aplicației de tip Authenticator este că, în loc să vă fie trimis un cod prin SMS, codul se afișează în aplicație și este legat direct de dispozitivul utilizat, mai degrabă decât de numărul dvs. de telefon.
Autentificarea ce se bazează pe aplicațiile de autentificare complică semnificativ lucrurile pentru oricine dorește să vă citească sau să vă fure codul. Cu toate acestea, există situații în care programele malware vă pot intercepta codurile de autentificare.
Dacă doriți să vă îmbunătățiți și mai mult nivelul de securitate, luați în considerare achiziționarea unei chei de securitate hardware pe care o conectați prin USB, NFC sau Bluetooth. Cheile fizice oferă un nivel ridicat de securitate, în special deoarece codurile transmise pe această cale nu pot fi interceptate sau redirecționate. Pentru a vă compromite contul, infractorii ar trebui să fure fizic cheia și să cunoască datelor dvs. de autentificare.
Un posibil dezavantaj este faptul că trebuie să aveți cheia asupra dvs. de fiecare dată când doriți să vă conectați. În plus, cheile disponibile în prezent nu sunt acceptate în mod universal de toate dispozitivele și platformele. De asemenea, cheile fizice pot fi considerate costisitoare, deoarece prețurile încep de la 25 USD per unitate, iar versiunile mai avansate, precum ar fi cele cu dispozitiv de recunoaștere a amprentelor digitale, pot costa peste 100 USD.
Ce altceva puteți face pentru a vă îmbunătăți securitatea pe Twitter?
În timp ce renunțați la 2FA prin SMS și vă îndreptați către o altă variantă, este oportun să vă revizuiți setările de securitate și de confidențialitate ale contului dvs. Printre altele, setați o parolă puternică și unică și luați în considerare punerea în practică a acestor măsuri pentru a fi în siguranță în timpul utilizării platformei.
Iar dacă intenționați să deveniți sau sunteți deja abonat Twitter Blue, este bine să renunțați la varianta de autentificare prin doi factori prin SMS în favoarea unei aplicații de autentificare sau a unei chei hardware.
ARTICOL SIMILAR: Mastodon vs. Twitter: Know the differences
Lasa un comentariu