Twitter dün duyurdu 20 Mart’tan itibaren, kullanıcılarının yalnızca bir Twitter Blue aboneliği için ödeme yapmaları halinde hesaplarını SMS tabanlı iki faktörlü kimlik doğrulama ile güvence altına almalarına izin verecek. İki faktörlü kimlik doğrulama veya 2FA, kullanıcıların bir kullanıcı adı ve şifre ile oturum açmasını ve ardından sayısal kod gibi ek bir “faktör” ile oturum açmasını gerektirir. Güvenlik uzmanları, insanların bu kodları almak için bir jeneratör uygulaması kullanmasını uzun süredir tavsiye ediyor. Ancak bunları SMS metin mesajlarıyla almak popüler bir alternatiftir, bu nedenle ücretsiz kullanıcılar için bu seçeneğin kaldırılması, güvenlik uzmanlarının kafalarını kaşımasına neden oldu.
Twitter’ın iki faktörlü hamlesi, Elon Musk’ın şirketi geçen yıl satın almasından bu yana bir dizi tartışmalı politika değişikliğinin sonuncusu. Şu anda Twitter hesaplarında mavi onay işareti almanın tek yolu olan ücretli Twitter Blue hizmeti, Android ve iOS’ta ayda 11 ABD doları ve yalnızca masaüstü aboneliği için daha ucuza mal oluyor. SMS tabanlı iki faktörlü kimlik doğrulamadan önyüklenen kullanıcılar, bir kimlik doğrulama uygulamasına veya fiziksel bir güvenlik anahtarına geçme seçeneğine sahip olacak.
Twitter, “Tarihsel olarak popüler bir 2FA biçimi olsa da, ne yazık ki, telefon numarasına dayalı 2FA’nın kötü kişiler tarafından kullanıldığını ve kötüye kullanıldığını gördük.” Blog yazısı dün akşam yayınlandı. “Bugünden itibaren, Twitter Blue abonesi olmayan hesapların 2FA’nın kısa mesaj/SMS yöntemine kaydolmasına artık izin vermeyeceğiz.”
İçinde hesap güvenliği hakkında bir Temmuz 2022 raporu, Twitter, aktif kullanıcılarının yalnızca yüzde 2,6’sının herhangi bir türde iki faktörlü kimlik doğrulamanın etkinleştirildiğini söyledi. Bu kullanıcıların yaklaşık yüzde 75’i SMS sürümünü kullanıyordu. Neredeyse yüzde 29’u kimlik doğrulama uygulamaları kullanıyordu ve yüzde 1’den azı fiziksel bir kimlik doğrulama anahtarı eklemişti.
SMS tabanlı iki faktörlü kimlik doğrulama güvenli değildir çünkü saldırganlar hedeflerin telefon numaralarını ele geçirebilir veya metinleri kesmek için başka teknikler kullanabilir. Ancak güvenlik uzmanları, iki faktörlü SMS kullanmanın, ikinci bir kimlik doğrulama faktörünü hiç etkinleştirmemekten çok daha iyi olduğunu uzun süredir vurgulamaktadır.
Apple ve Google gibi teknoloji devleri, iki faktörlü SMS seçeneğini giderek artan bir şekilde ortadan kaldırdı ve kullanıcıları (genellikle aylar veya yıllar içinde) diğer kimlik doğrulama biçimlerine geçirdi. Araştırmacılar, Twitter’ın politika değişikliğinin, kullanıcılara geçişi tamamlamaları için çok az zaman vererek ve iki faktörlü SMS’leri birinci sınıf bir özellik gibi göstererek kullanıcıların kafasını karıştıracağından endişe ediyor.
“Twitter blogu, metin mesajlarını kullanan iki faktörlü kimlik doğrulamanın kötü kişiler tarafından sıklıkla kötüye kullanıldığını belirtmekte haklı. Diğer 2FA yöntemlerinden daha az güvenli olduğunu kabul ediyorum,” diyor Carnegie Mellon’un kullanılabilir gizlilik ve güvenlik laboratuvarı yöneticisi Lorrie Cranor. “Fakat motivasyonları güvenlikse, ücretli hesapları da güvende tutmak istemezler mi? Yalnızca ücretli hesaplar için daha az güvenli yönteme izin vermek mantıklı değil.”
Şirket, iki faktöre yönelik değişikliklerinin Mart ortasında piyasaya sürüleceğini söylese de, iki faktörlü SMS’i etkinleştiren Twitter kullanıcıları, dün kendilerine iki faktörlü özelliği tamamen kaldırmalarını veya ” kimlik doğrulama uygulaması veya güvenlik anahtarı yöntemleri.
Kullanıcılar yeni son tarihe kadar iki faktörlü SMS’i devre dışı bırakmazlarsa ne olacağı belli değil. Kullanıcılara yönelik uygulama içi mesaj, değişiklik resmi olarak 20 Mart’ta gerçekleştiğinde hala iki faktörlü SMS’i açık olan kişilerin hesaplarının kilitleneceğini ima ediyor. Bildirimde, “Twitter’a erişimi kaybetmemek için, kısa mesaj iki faktörlü kimlik doğrulamasını 19 Mart 2023’e kadar kaldırın” diyor. Ancak Twitter’ın blog yazısı, kullanıcılar daha önce ayarlamazlarsa iki faktörün 20 Mart’ta devre dışı bırakılacağını söylüyor. Şirket, “20 Mart 2023’ten sonra, Twitter Blue abonesi olmayanların metin mesajlarını 2FA yöntemi olarak kullanmasına artık izin vermeyeceğiz” diye yazdı. “O zaman, 2FA metin mesajının hala etkin olduğu hesaplar onu devre dışı bırakacak.”