[ This article was originally published here ]
SMS 2FA kimlik doğrulamasını unutun – Twitter ve diğerleri, ya ücret alarak ya da tamamen ortadan kaldırarak onu daha az çekici hale getiriyor. Ancak teknoloji şirketlerinin yatırım yapmaya istekli olması durumunda daha iyi bir alternatif var.
John E. Dunn tarafından
Şu anda Twitter ve iki faktörlü kimlik doğrulamadan (2FA) aynı anda bahsedin ve güvenlik gözlemcileri hemen şaşırtıcı bir şey düşünecek şirket iki aydan daha kısa bir süre önce yaptı. İşin özü, hesabına SMS 2FA kullanan veya ekleyen herkesin, özelliği kullanmaya devam etmek için ayda 8 ABD doları karşılığında Twitter Blue aboneliği satın alması gerektiğiydi. Hayırsever bir şekilde, bu muhtemelen insanların ücretsiz olarak kalan kimlik doğrulama uygulamaları veya donanım belirteçleri gibi daha güvenli seçeneklere geçmesini sağlamak için bir dürtme olarak tasarlanmıştı. İnsanlar, büyük olasılıkla, etkisinin bazı kullanıcıları 2FA kullanmayı tamamen bırakmaya teşvik edeceğini belirtti.
Fazladan adım ve oturum açarken yarattığı gecikme göz önüne alındığında bazıları için tartışmasız sinir bozucu, ancak tüm başarısızlıklarına rağmen, SMS 2FA’nın her zaman büyük bir özelliği vardı – kullanımı inanılmaz derecede kolay.
Alternatif Kimlik Doğrulama
Kullanıcılar arasına bir ödeme duvarı koymanın ve bu basitliğin can sıkıcı olduğu doğru. Kullanıcılar bunun yerine bir kimlik doğrulama uygulaması kullanabilir, ancak bu, uygulamayı indirmek, uygulamayı Twitter’a kaydetmek, her seferinde bir PIN veya parmak izi ile uygulamanın kilidini açmak, her girişte girmeden önce altı haneli bir kod almak için uygulamalar arasında geçiş yapmak anlamına gelir.
Veya bir FIDO U2F belirteci satın alabilirler. Kullanımı daha kolaydır – basit bir parmakla basma – ancak her birinin maliyeti yaklaşık 30 dolardır, yine de kayıt olmaları gerekir ve diğerini kaybetmeniz durumunda yedek olarak ikincisine ihtiyacınız olduğunu unutmayalım.
Bu, tüketiciler arasında en başından beri 2FA alımını engelleyen gerilimdir. Daha fazla güvenliğe sahip olabilirsiniz, ancak muhtemelen daha az kullanışlı olacaktır. SMS ile tek seferlik şifreler göndererek çok kolaylaştırırsanız, bilgisayar korsanları SIM hırsızlığı, ortadaki adam saldırıları veya sahte hesap sıfırlamaları kullanarak bunun üstesinden gelmenin yollarını bulacaktır.
Bu tartışmanın büyük ironisi, neredeyse hiç kimsenin Twitter 2FA’yı ilk etapta kullanmamasıdır. Buna göre 2021’den itibaren, en az bir 2FA yöntemi açık olan kullanıcıların yüzdesi gülünç derecede düşük bir oran olan %2,6’dır. Google’da alım %10’da daha iyidir, ancak bu yine de %90’ının kapattığı anlamına gelir.
Açıkçası, diğer pek çok büyük web sitesi ve hizmette olduğu gibi Twitter için de, 2FA güvenliğinin çok konuşulan dönemi başından beri bir yanılsamaydı. Çoğu büyük web platformu, 2013 civarında 2FA’yı etkinleştirdi ve on yıl sonra onu kullanan tek kişiler, şirketler ve uzman kullanıcılar gibi görünüyor.
İtme alternatifi
Sinir bozucu bir şekilde, bu 2FA çıkmazından çıkmanın olası bir yolu, push bildirimi biçiminde zaten var. Teknoloji, iş MFA’sı için zaten geniş çapta benimsenmiştir ve kullanımı kolaydır. Kullanıcılar bir uygulama indirir ve telefonlarını kaydeder. O andan itibaren her oturum açtıklarında, cihazlarında oturum açma kimliklerini evet/hayır olarak doğrulamalarını isteyen bir mesaj açılır.
Bunun avantajı, ağ iletişiminin sorun olduğu durumlarda, kullanıcının geleneksel bir kimlik doğrulama koduyla desteklenen tek bir dokunuşla kimlik doğrulaması yapabilmesidir.
Kuşkusuz, olumsuzluklar var. Push, Google, Apple, Microsoft gibi şirketlerin veya bir üçüncü taraf güvenlik tedarikçisinin bir bildirim ağ geçidi görevi görmesini gerektirir. Ayrıca, MFA yorgunluğu gibi anlık bildirimlere yönelik saldırılar da olmuştur; bu saldırılar, kullanıcıları, gelmelerini durdurmak için birini kabul edene kadar hileli push istekleriyle bombardımana tutar.
Bu sorunların çoğu, Microsoft’un numara eşleştirme push sistemi gibi ince ayarlarla veya gönderilebilecek push bildirimlerinin sayısını sınırlayarak çözülebilir. Push bildirim uygulamaları artık kullanıcılara istekler hakkında coğrafi konumları ve isteklerin yapıldığı cihaz gibi daha fazla bilgi veriyor.
Ancak anlık bildirimlerin, onları her güvenlik yöneticisinin en iyi arkadaşı yapmayı hak eden bir numarası daha vardır. En başta 2FA’ya ihtiyaç duyulmasının tüm nedeni, parola kimlik bilgilerinin inanılmaz derecede ödün vermeye eğilimli olmasıdır. Bir saldırgan bunlara sahip olduğunda, kuruluşlar ve bireyler bir noktada baypas veya sosyal mühendislik saldırısı girişimlerine karşı savunmasız hale gelir.
Kimlik bilgilerinin tehlikeye girmesi tehlikelidir çünkü yöneticilerin bunun olduğunu bilmelerinin hiçbir yolu yoktur. Sorunun muhtemel olduğunu biliyorlar ama ne zaman ve kime karşı olacağını bilmiyorlar. Ardından, hileli bildirimlerin bir şeylerin ters gittiğine dair bir uyarı olduğu anlaşılmaktadır. Kullanıcılarınız, kendilerinden olmayan birden fazla push bildirimi bombardımanına tutulduysa, bu, yöneticilere o kullanıcının kimlik bilgilerini hemen değiştirmelerini söylüyor.
Yöneticiler, kullanıcılarına şüpheli push isteklerini bildirmeleri için bir kanal vermeyi hatırladıkları sürece, bu, kimlik doğrulamada yerleşik olarak ücretsiz bir şifre ihlali uyarı sistemine sahip olmak gibidir.
Twitter veya başka herhangi bir tüketici sosyal ağ sitesi push’u benimseyecek mi? Bu pek olası görünmüyor. Anında iletme bildirimi ayarlamak, şu anda maliyetleri azaltmaktan daha mutlu görünen bir şirkette maliyetli olacaktır. Ancak sektör, şifresiz bir geleceğe doğru uzun ve muhtemelen yavaş bir yolculuğa çıkarken, anlık bildirimlere daha yakından bakmaktan çok daha kötüsünü yapabiliriz.
reklam