Twitter, bir Twitter Blue aboneliği için ödeme yapmadığınız sürece SMS iki faktörlü kimlik doğrulamayı artık desteklemeyeceğini duyurdu. Ancak, aşağıda açıkladığımız çok faktörlü kimlik doğrulama için daha güvenli seçenekler vardır.
Bu hafta yayınlanan bir blog gönderisinde Twitter, SMS 2FA kimlik doğrulaması kullanan Twitter Blue kullanıcısı olmayan kullanıcıların 20 Mart 2023’e kadar başka bir 2FA yöntemine geçmeleri gerektiğini, aksi takdirde devre dışı bırakılacağını söyledi.
Twitter, “Halihazırda kayıtlı olan Twitter Blue üyesi olmayan abonelerin bu yöntemi devre dışı bırakmak ve başka bir yönteme kaydolmak için 30 günleri olacak” uyarısında bulundu. Blog yazısı.
“20 Mart 2023’ten sonra, Twitter Blue abonesi olmayanların metin mesajlarını 2FA yöntemi olarak kullanmasına artık izin vermeyeceğiz. O zaman, metin mesajı 2FA’nın hâlâ etkin olduğu hesaplar bunu devre dışı bırakacak.”
Twitter’a dayalı olarak hesap güvenlik raporuTemmuz 2021 ile Aralık 2021 arasındaki verileri içeren kullanıcıların yalnızca %2,6’sı iki faktörlü kimlik doğrulama kullanıyor. Bu kullanıcıların %74,4’ü SMS 2FA, 28,9’u kimlik doğrulama uygulaması ve %0,5’i donanım güvenlik anahtarı kullanıyor.
Elon Musk, sahte 2FA SMS mesajlarında yılda 60 milyon dolar kaybettikleri için bu değişikliği yaptıklarını söyledi.
daha sonra misk bu politika değişikliğini yedekledikimlik doğrulama uygulamalarının “SMS’den çok daha güvenli” olduğunu belirterek, muhtemelen mobil cihazlarda SIM değiştirme saldırıları riskine atıfta bulunuyor.
SIM takas saldırıları, tehdit aktörlerinin numaraları saldırganın kontrolündeki SIM kartlara yeniden atamaları için operatörün çalışanlarını kandırarak veya rüşvet vererek bir hedefin cep telefonu numarasının kontrolünü ele geçirmesidir.
Bu, tehdit aktörlerinin telefon numarasını kendi cihazlarında kullanmalarına, kurbanın SMS çok faktörlü kimlik doğrulama (MFA) kodları dahil olmak üzere SMS metinlerini almalarına veya kimlik bilgilerinin bir parçası olarak telefon numarası kullanan hesaplarda oturum açmalarına olanak tanır.
Twitter Blue’ya kaydolma planınız yoksa, artık 2FA kimlik doğrulama yönteminiz olarak bir Güvenlik anahtarı veya bir kimlik doğrulama uygulaması kullanmanız istenecektir.
Birçoğu bu yeni politikanın nasıl ele alındığı ve kullanıma sunulduğu konusunda hemfikir olmasa da, Twitter Blue’ya abone olmamayı seçen kullanıcılar için nihayetinde daha iyi bir güvenlik sağlayabilir.
Bunun nedeni, hesabınızın güvenliğini sağlamak için daha güvenli seçenekler kullanmak zorunda kalacak olmanızdır.
En güvenli seçenek, 2FA isteklerine otomatik olarak yanıt vermek ve sizi bir hesapta oturum açmak için USB veya NFC bağlantılı küçük cihazlar olan Google Titan veya Yubikey gibi bir donanım güvenlik anahtarı kullanmaktır.
Bir bilgisayara takılması ve hesabınızda oturum açmanız için sahip olmanız gereken fiziksel cihazlar oldukları için en güvenli olarak kabul edilirler.
Bu nedenle, herhangi biri kimlik bilgilerinize erişirse, ister gelişmiş ortadaki düşman kimlik avı saldırıları veya SIM takas saldırıları yoluyla olsun, 2FA belirteçlerinizi bir şekilde çalsalar bile 2FA’yı atlayamazlar.
Diğer seçenek, Google Authenticator, Microsoft Authenticator ve Authy gibi iki faktörlü bir kimlik doğrulama uygulaması kullanmaktır.
Bir web sitesinde 2 faktörlü/çok faktörlü kimlik doğrulamayı ayarlarken site, kimlik doğrulama uygulamasıyla taradığınız bir QR kodunu görüntüler. Tarandıktan sonra, web sitesi, hesabınıza giriş yapmak için bir web sitesine gönderilmesi gereken 2FA kodları oluşturmak için uygulamada kaydedilecektir.
Bir tehdit aktörü kimlik bilgilerinize erişim kazanırsa, mobil uygulamanız tarafından oluşturulan koda erişemez ve bu nedenle oturum açamaz.
Kimlik doğrulama uygulamalarının sorunu, telefonunuzu kaybederseniz 2FA kodlarınıza erişiminizi de kaybetmenizdir, bu da sitelere yeniden erişim sağlamayı zorlaştırır ve zaman alır.
Bununla birlikte, Microsoft Authenticator ve Authy, cihazınızı kaybederseniz veya silerseniz 2FA ayarlarınızı geri yükleyebilmeniz için 2FA ayarlarınızı buluta yedekleme özelliği içerir.
Bu nedenle, her iki uygulama da kimlik doğrulama uygulamanız olarak mükemmel bir seçimdir.
Ancak Authy kullanıyorsanız, kodları başka bir cihaza aktarmadığınızda ‘Çoklu cihaza izin ver’ ayarını devre dışı bıraktığınızdan emin olun, sanki telefon numaranız çalınmış gibi, Authy hesabınıza erişmek için kullanılabilir.
Kullandığınız kimlik doğrulama yönteminden bağımsız olarak, Twitter’ın güvenlik raporu, hesabınızın güvenliğini artırmasına rağmen çok fazla kişinin hesaplarını 2FA ile güvence altına almadığını gösteriyor.
Nihai olarak daha güvenli olduğundan, Twitter dahil kullandığınız tüm çevrimiçi hesaplarda 2FA’yı etkinleştirmeniz ve bir kimlik doğrulayıcı veya donanım güvenlik anahtarı kullanmanız şiddetle tavsiye edilir.