Güvenlik uzmanları, SMS tabanlı iki faktörlü kimlik doğrulama (2FA) kullanmanın güvenli olmadığı ve kullanıcıları uzlaşma riskine soktuğu konusunda hemfikirdir – SMS tabanlı iletişimler, sözde SIM değiştirme saldırılarında kötü niyetli kişiler tarafından çok kolay bir şekilde yakalanır veya yeniden yönlendirilir ve zaman Bu modası geçmiş ve güvensiz teknolojiden uzaklaşmak çoktan geride kaldı.
Yani Twitter’ın planladığı duyurusu kabul edilirse SMS tabanlı 2FA’yı kaldırmak için 20 Mart 2023’te ödeme yapmayan kullanıcılar için göründüğü kadarıyla bir seçenek olarak, kullanıcıları bir mobil uygulama veya fiziksel güvenlik gibi daha güvenli MFA seçeneklerine yönlendirmek için tamamen mantıklı ve makul bir girişim olarak okumak kolaydır. anahtar. Mantıklı bir karar gibi görünüyor.
Ancak Twitter’ın mantıklı kararlar alıp almadığı artık net değil; sosyal medya platformu, 2022’de kararsız milyarder Elon Musk tarafından devralındığından bu yana, çoğu siber güvenlik ve uyumluluk sorunları olan sayısız sorunla boğuşuyor.
Bu sorunların birçoğunun, Musk’ın bir hevesle anlık kararlar verme eğiliminden kaynaklandığı düşünülüyor ve bu son politika değişikliğinin, belirli bir sorunu ele almak için alınmış böyle bir karar olabileceğine dair bazı öneriler var. – muhtemelen SMS 2FA sunmanın maliyeti – ancak daha geniş sonuçlar düşünülmeden.
Öncelikle, ödeme yapan kullanıcıların güvenli olmayan bir kimlik doğrulama yöntemini premium bir özellik olarak kullanmalarına izin verme kararı mantıklı değil ve Twitter, kullanıcıları premium “Mavi” katmanı için ödeme yapmaya teşvik edecek hiçbir şey yapmadı.
Bu nedenle, yönetilen tespit ve müdahale (MDR) hizmetleri tedarikçisi Socura’nın CEO’su Andy Kays, dolandırıcılar için yakında “Noel erken gelecek” dedi.
Kays, herkesin SMS tabanlı 2FA’nın kusurları olduğunu bildiğini, ancak kullanımı daha kolay ve genellikle daha ucuz olduğu için, halk için çok değerli bir güvenlik özelliği haline geldiğini açıkladı.
Kays, “Kısa vadede, 2FA’nın kaldırılması, özellikle daha az teknoloji meraklısı sosyal medya kullanıcıları için zararlı olabilir” dedi. “Çoğu insan SMS 2FA kullanmaktan hiçbir şekilde 2FA kullanmamaya geçecek. Sonuç olarak çok daha az güvenli olacaklar ve dolandırıcılar, siber suçlular ve kimlik hırsızları için birincil hedef olacaklar.”
“Uzun vadede, yalnızca bu hareketin evrensel otantik uygulama benimsemesi için katalizör olmasını umabiliriz. Kimlik doğrulayıcı uygulamalarının 2FA’nın çok daha iyi bir biçimi olduğu doğru, ancak kullanıcılar belirli bir süre içinde kendi özgür iradeleriyle geçiş yapmaya teşvik edilmeli, buna zorlanmamalı” dedi.
Güvenlik derecelendirme uzmanı SecurityScorecard’ın baş araştırma ve geliştirme sorumlusu Alexander Heid şunları söyledi: “SMS tabanlı 2FA 20 Mart’ta devre dışı bırakıldığında, ödeme yapmayan kullanıcıların küçük bir yüzdesi, eğer şifreleri yeniden kullanıyorlarsa, hesap devralma deneyimi yaşayabilirler. halka açık veri ihlallerinde dolaşıyorlar ve hesaplarını güvende tutmak için yalnızca SMS tabanlı 2FA’ya güveniyorlar.
“Bir kişinin eski şifreleri yeniden kullanma alışkanlığı varsa, 20 Mart geçişinden bağımsız olarak şifrenizi değiştirmeniz önerilir.
Ancak şunları ekledi: “İddiaya göre Twitter kullanıcılarının yalnızca %2,6’sı 2FA’yı kullanıyor – yani genel Twitter kullanıcılarının yalnızca küçük bir kısmı bu değişikliklerden etkilenecek.”
Alternatif seçenekler
Şu anda Twitter’da oturum açmak için SMS tabanlı 2FA kullanıyorsanız ve güvenli olmayan bir hizmeti kullanmaya devam etmek için ödeme yapılmamasını tercih ediyorsanız, Twitter her ikisi de dikkate değer olan iki seçenek daha sunmaya devam edecektir.
Twitter için en güvenli 2FA seçeneği, tek seferlik bir parola (OTP) oluşturmak için USB bağlantı noktası veya kablosuz bağlantı yoluyla bilgisayarınıza bağlanan küçük bir cihaz olan Yubico by Yubikey veya Google Titan gibi fiziksel bir güvenlik anahtarıdır. daha sonra hizmette oturum açmak için kullanabileceğiniz.
Fiziksel anahtarlar, sizin mülkiyetinizde olmaları gerektiğinden ve bir siber suçlu Twitter kimlik bilgilerinizi ele geçirmişse kolayca atlanamayacağından son derece güvenli kabul edilir.
Authy by Twilio, Google Authenticator veya LastPass gibi bir kimlik doğrulama uygulaması benzer bir prensipte çalışır ancak mobil cihazınızda Twitter’a giriş yaptığınızda kullanabileceğiniz kodlar üretir.
Bu tür uygulamalar, kimlik bilgileriniz bir şekilde tehlikeye düştüğünde yine de yeterli düzeyde koruma sağlar, ancak cep telefonunuz çalınırsa savunmasızdır ve cep telefonunuz kaybolursa pratik değildir.