Twitter, sitede iki faktörlü kimlik doğrulamanın nasıl çalıştığı konusunda radikal değişiklikler yapıyor. Neler oluyor ve bu değişiklikler ne zaman hayata geçiyor?
Twitter, şu anda mevcut olan güvenlik ayarlarında bazı dramatik değişiklikler yapıyor. 19 Mart’tan itibaren Twitter kullanıcıları SMS tabanlı iki faktörlü kimlik doğrulamayı kullanamayacak (2FA), ücretli Twitter Blue hizmetine abonelikleri olmadığı sürece.
Metin tabanlı 2FA kullanıyorsanız burada önemli olan endişelenmemek.
Twitter’ın 2FA yeteneğinizi tamamen kaldırdığı izlenimine kapılmış olabilirsiniz, ancak durum bu değil. Orada vardır alternatifler ve SMS yaklaşımından biraz daha sağlamlar. Aslında, ücretsiz Twitter kullanıcıları için metin hizmetinin kaldırılmasına ilişkin belgelerde Twitter tarafından defalarca referans alınmıştır.
Ne olduklarından veya nasıl çalıştıklarından emin değilseniz korkmayın. Size alternatifleri anlatacağız.
Güvenlik yaklaşımınızı son tarihte değiştirme
Şu anda Twitter’da oturum açarsanız, sonunda aşağıdakileri söyleyen bir açılır mesajla karşılaşacaksınız:
Kısa mesaj iki faktörlü kimlik doğrulama yöntemini yalnızca Twitter Blue aboneleri kullanabilir. Bunu kaldırmak sadece birkaç dakika sürecektir. Kimlik doğrulama uygulamasını ve güvenlik anahtarı yöntemlerini kullanmaya devam edebilirsiniz. Twitter’a erişimi kaybetmemek için 19 Mart 2023’e kadar kısa mesaj iki faktörlü kimlik doğrulamasını kaldırın.
Bu hareket, Twitter platformuyla ilgili olarak hileli bot davranışından sorumlu tutuluyor. Yukarıda bağlantılı Twitter blog gönderisinden:
Tarihsel olarak 2FA’nın popüler bir biçimi olmasına rağmen, ne yazık ki telefon numarası tabanlı 2FA’nın kötü aktörler tarafından kullanıldığını – ve suistimal edildiğini – gördük. Bu nedenle, bugünden itibaren, Twitter Blue abonesi olmayan hesapların 2FA’nın kısa mesaj/SMS yöntemine kaydolmasına artık izin vermeyeceğiz. Twitter Blue için metin mesajı 2FA’nın kullanılabilirliği ülkeye ve operatöre göre değişebilir.
Ek bir güvenlik önleminin kullanıcılardan kaldırılması ve bir aboneliğin arkasına yerleştirilmesi harika değil. Bir çeşit 2FA hiç yoktan iyidir ve herhangi 2FA türü, büyük platformlarda acı verecek kadar düşüktür. Twitter’ın kendisi bile mücadele ediyor, sadece Aktif hesapların %2,6’sı en az bir 2FA yönteminin kullanılması. Bunların %74,4’ü SMS 2FA kullanıyor, bu nedenle bu kaldırma planının zaten küçük olan kayıt sayıları üzerinde büyük bir etkisi olabilir.
Twitter çok mobil merkezli olduğundan ve muhtemelen zaten cep telefonu numaranıza sahip olduğundan, SMS 2FA birçok kişi için platform için doğal bir uyumdur. SMS 2FA’larından sıyrılan kişiler, bir uygulama veya donanım anahtarıyla 2FA’yı yeniden uygulamaya zahmet etmeyebilir. Bu, bu hesapları çok daha az güvenli hale getirir.
Bunu akılda tutarak, Twitter’ın sunduğu diğer iki 2FA formunda neler olduğuna bir göz atalım.
Twitter ve 2FA: Ne kullanabilirsiniz?
Kimlik doğrulama uygulamaları
Uygulamalar, metin tabanlı 2FA’dan daha güvenli olarak görülüyor, ancak yine de çok kullanışlı.
Kimlik doğrulama uygulamaları, kullanıcı adınız ve şifrenizle oturum açtıktan sonra siteye girdiğiniz sayısal bir kodu sürekli olarak oluşturarak çalışır. Kodun süresi siz girmeden önce dolarsa, uygulama başka bir tane oluşturur ve onun yerine onu kullanırsınız. Uygulamanın kodları asla bitmeyecek.
Bu kodlar, telefonunuz çevrimiçi veya çevrimdışı olsa da geçerlidir. Bazı kimlik doğrulayıcı uygulamaları, oturum açanın siz olduğunuzu kanıtlamak için size kabul etmeniz için bir istem de gönderir. hatta bir tür internet bağlantısı. Bir uygulama ile, herhangi bir fark yaratmaz.
Metin tabanlı 2FA’dan farklı olarak, kimlik doğrulayıcı uygulamaları SIM takaslı telefon aramalarına karşı dirençlidir, çünkü kodlarınız operatörünüzle tamamen bağlantılıdır. Uygulamanızın oluşturduğu kodu bir kimlik avı sayfasına girmeniz durumunda yine de kimlik avına maruz kalabileceğinizi unutmayın.
Donanım güvenlik anahtarları
Bunlar, metin mesajları, uygulama kodları ve hatta e-posta ile gönderilen kodlar yerine 2FA rolünü üstlenerek kullandığınız web sitelerine bağlanabilen özel USB belleklerdir. Donanım güvenlik anahtarları SIM değiştirilemez ve kimlik avına da maruz kalmazlar. Oltalanacak bir şey yok. Saldırgan, cihazı evinizden, cüzdanınızdan, anahtarlığınızdan veya başka herhangi bir yerden fiziksel olarak bir şekilde elde edemezse, güvenliğinizi tehlikeye atma konusunda sefil bir şekilde başarısız olacaktır.
Donanım anahtarları niş seçenektir, ancak kimlik avı riskini olabildiğince azaltmak istiyorsanız, kesinlikle dikkate alınması gereken bir şeydir. Parola yöneticileri gibi hizmetlerle de çalışan donanım anahtarı modelleri vardır, dolayısıyla özel güvenlik ihtiyaçlarınıza bağlı olarak pek çok seçenek mevcuttur.
Değişikliği yapmak
Bu konudaki bir sonraki yazımız, metin tabanlı 2FA’yı etkinleştirdiyseniz Twitter hesabınızdan nasıl kaldıracağınızı ve bunun yerine uygulama tabanlı kimlik doğrulamayı veya bir donanım anahtarını nasıl etkinleştireceğinizi açıklayacaktır. Bazı seçenekleri ve ayarları bir profesyonel için bile bulmak zor olabilir, ancak her seçeneği ayrıntılı olarak ele alacağız ve ihtiyaçlarınıza en uygun ayarı seçebilirsiniz.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.