Twitterillä on ilmoitti kiehtova muutos sen 2FA-järjestelmään (kaksitekijäinen todennus).
Muutos astuu voimaan v noin kuukauden ajan, ja se voidaan tiivistää hyvin yksinkertaisesti seuraavaan lyhytkappaleeseen:
Tekstien käyttäminen on epävarmaa 2FA:n tekemiseen, joten jos haluat jatkaa sitä, joudut maksamaan.
Sanoimme yllä "noin kuukauden kuluttua", koska Twitterin ilmoitus on hieman epäselvä päivämäärien ja päivien laskelmissa.
2023 päivätyssä tuotetiedotteessa sanotaan, että käyttäjät, joilla on tekstiviestipohjainen 02FA "on 30 päivää aikaa poistaa tämä menetelmä käytöstä ja rekisteröityä toiseen."
Jos sisällytät ilmoituksen päivämäärän tähän 30 päivän ajanjaksoon, tämä tarkoittaa, että tekstiviestipohjainen 2FA lopetetaan torstaina 2023-03-16.
Jos oletetaan, että 30 päivän ikkuna alkaa seuraavan täyden päivän alusta, odotat SMS 2FA:n loppuvan perjantaina 2023-03-17.
Tiedotteessa kuitenkin sanotaan niin "20. maaliskuuta 2023 jälkeen emme enää salli muiden kuin Twitter Blue -tilaajien käyttää tekstiviestejä 2FA-menetelmänä. Tuolloin tileiltä, joissa tekstiviesti 2FA on edelleen käytössä, se poistetaan käytöstä."
Jos tämä on ehdottoman totta, tekstiviestipohjainen 2FA päättyy tiistaina 21. maaliskuuta 2022 (selvittämättömällä aikavyöhykkeellä), vaikka neuvomme on käyttää lyhintä mahdollista tulkintaa, jotta et jää kiinni.
Tekstiviestiä pidettiin turvattomana
Yksinkertaisesti sanottuna Twitter on päättänyt, kuten Reddit teki muutama vuosi sitten, että tekstiviestillä lähetetyt kertaluonteiset turvakoodit eivät ole enää turvallisia, koska "Valitettavasti olemme nähneet huonojen näyttelijöiden käyttäneen - ja väärinkäyttäneen - puhelinnumeropohjaista 2FA:ta."
Ensisijainen vastalause tekstiviestipohjaisille 2FA-koodeille on se, että päättäväiset kyberrikolliset ovat oppineet huijaamaan, kiusaamaan tai yksinkertaisesti lahjomaan matkapuhelinyhtiöiden työntekijöitä antamaan heille korvaavia SIM-kortteja, joihin on ohjelmoitu jonkun toisen puhelinnumero.
Kadonneen, rikkinäisen tai varastetun SIM-kortin laillinen vaihtaminen on tietysti matkapuhelinverkon toivottava ominaisuus, muuten joudut hankkimaan uuden puhelinnumeron aina SIM-kortin vaihdon yhteydessä.
Mutta näennäinen helppous, jolla jotkut roistot ovat oppineet sosiaalisen suunnittelun taidot "ottaa haltuunsa" toisten ihmisten numerot, yleensä hyvin erityisellä tarkoituksella saada heidän 2FA-kirjautumiskoodinsa, on johtanut huonoon julkisuuteen tekstiviesteille 2FA-lähteenä. salaisuuksia.
Tällainen rikollisuus tunnetaan ammattikielessä nimellä SIM-swap, mutta se ei ole varsinaisesti minkäänlaista vaihtoa, koska puhelinnumero voidaan ohjelmoida vain yhdelle SIM-kortille kerrallaan.
Joten kun matkapuhelinyhtiö "vaihtaa" SIM-kortin, se on itse asiassa suora korvaus, koska vanha SIM-kortti kuolee eikä toimi enää.
Tietysti, jos vaihdat oman SIM-korttisi, koska puhelimesi varastettiin, se on hyvä turvaominaisuus, koska se palauttaa numerosi sinulle ja varmistaa, että varas ei voi soittaa puhelujasi tai kuunnella puhelimesi viestit ja puhelut.
Mutta jos pöydät käännetään ja roistot valtaavat SIM-korttisi laittomasti, tämä "ominaisuus" muuttuu kaksoisvastuuksi, koska rikolliset alkavat vastaanottaa viestejäsi, mukaan lukien sisäänkirjautumiskoodisi, etkä voi käyttää omaa puhelintasi. ilmoittamaan ongelmasta!
Onko tässä todella kyse turvallisuudesta?
Onko tässä muutoksessa todella kyse turvallisuudesta vai onko se vain Twitterin tavoitteena yksinkertaistaa IT-toimintojaan ja säästää rahaa vähentämällä lähetettävien tekstiviestien määrää?
Epäilemme, että jos yritys todella aikoisi lopettaa tekstiviestipohjaisen kirjautumistodennuksen, se pakottaisi kaikki sen käyttäjät siirtymään sen mielestä turvallisempiin 2FA-muotoihin.
Ironista kyllä, Twitter Blue -palvelusta maksavat käyttäjät, ryhmä, johon näyttää kuuluvan korkean profiilin tai suosittuja käyttäjiä, joiden tilit epäilemme olevan paljon houkuttelevampia kohteita kyberrikollisille…
…saa jatkaa 2FA-prosessin käyttöä, jota ei pidetä tarpeeksi turvallisena kaikille muille.
Rikollisten on vaikea toteuttaa useita SIM-korttien vaihtohyökkäyksiä, koska SIM-kortin vaihtoon liittyy usein "muulin" lähettäminen (kybergangin jäsen tai "tytäryritys", joka on halukas tai tarpeeksi epätoivoinen riskiäkseen ilmestyä henkilökohtaisesti suorittamaan verkkorikollisuutta). matkapuhelinkauppaan, ehkä väärennetyllä henkilötunnuksella, yrittääkseen saada tietyn numeron käsiinsä.
Toisin sanoen SIM-kortin vaihtohyökkäykset näyttävät usein olevan ennalta harkittuja, suunniteltuja ja kohdennettuja, jotka perustuvat tiliin, jonka käyttäjätunnuksen ja salasanan rikolliset jo tietävät ja jossa he luulevat ottavansa haltuunsa tilin arvon. on aikaa, vaivaa ja riskiä jäädä kiinni teoista.
Joten jos päätät valita Twitter Bluen, suosittelemme, että et jatka tekstiviestipohjaisen 2FA:n käyttöä, vaikka se sallittaisiin, koska liität vain pienempään joukkoon herkullisia kohteita SIM-korttia vaihtavat kybergangit hyökkäämään.
Toinen tärkeä näkökohta Twitterin ilmoituksessa on, että vaikka yritys ei enää ole halukas lähettämään sinulle 2FA-koodeja tekstiviestillä ilmaiseksi ja mainitsee syynä turvallisuuteen liittyvät huolenaiheet, se ei poista puhelinnumeroasi, kun se lakkaa lähettämästä sinulle tekstiviestejä.
Vaikka Twitter ei enää tarvitse numeroasi ja vaikka olet alun perin antanut sen olettaen, että sitä käytettäisiin erityisesti sisäänkirjautumisturvallisuuden parantamiseen, sinun tulee muistaa mennä sisään ja poistaa se itse.
Mitä tehdä?
- Jos olet jo tai aiot liittyä Twitter Blue -jäseneksi, harkitse joka tapauksessa siirtymistä pois tekstiviestipohjaisesta 2FA:sta. Kuten edellä mainittiin, SIM-kortin vaihtohyökkäykset ovat yleensä kohdistettuja, koska niitä on vaikea tehdä massana. Joten jos tekstiviestipohjaiset kirjautumiskoodit eivät ole tarpeeksi turvallisia muulle Twitterille, ne ovat vielä vähemmän turvallisia sinulle, kun kuulut pienempään ja valikoidumpaan käyttäjäryhmään.
- Jos et ole Blue Twitter -käyttäjä ja SMS 2FA on käytössä, harkitse vaihtamista sovelluspohjaiseen 2FA:han. Älä vain anna 2FA:n raueta ja palata vanhaan salasanatodennustilaan, jos kuulut turvallisuustietoiseen vähemmistöön, joka on jo päättänyt hyväksyä 2FA:n vaatiman vaivan digitaaliseen elämääsi. Pysy kyberturvallisuuden suunnannäyttäjänä!
- Jos annoit Twitterille puhelinnumerosi erityisesti 2FA-viestejä varten, älä unohda mennä ja poistaa sitä. Twitter ei poista tallennettuja puhelinnumeroita automaattisesti.
- Jos käytät jo sovelluspohjaista todennusta, muista, että 2FA-koodisi eivät ole turvallisempia kuin tekstiviestit tietojenkalastelulta. Sovelluspohjaiset 2FA-koodit on yleensä suojattu puhelimesi suojakoodilla (koska koodisarja perustuu puhelimeesi turvallisesti tallennettuun siemennumeroon), eikä niitä voida laskea jonkun toisen puhelimessa, vaikka he laittaisivat SIM-korttisi laitteeseensa. Mutta jos paljastat vahingossa uusimman kirjautumiskoodisi kirjoittamalla sen väärennetylle verkkosivustolle yhdessä salasanasi kanssa, olet antanut huijareille kaiken, mitä he tarvitsevat, tulipa koodi sovelluksesta tai tekstiviestillä.
- Jos puhelimesi menettää matkapuhelinpalvelun yllättäen, tutki heti, jos SIM-korttisi on vaihdettu. Vaikka et käyttäisikään puhelintasi 2FA-koodeihin, huijari, joka hallitsee numeroasi, voi silti lähettää ja vastaanottaa viestejä sinun nimissäsi ja soittaa ja vastata puheluihin esitellen itseäsi. Varaudu saapumaan matkapuhelinliikkeeseen henkilökohtaisesti ja ota henkilöllisyystodistus ja tilikuitit mukaasi, jos voit.
- Jos et ole asettanut PIN-koodia puhelimen SIM-kortille, harkitse sen tekemistä nyt. Varas, joka varastaa puhelimesi, ei todennäköisesti pysty avaamaan sen lukitusta, jos olet asettanut kunnollisen suojakoodin. Älä tee heidän helppoa vain poistaa SIM-korttia ja asettaa se toiseen laitteeseen puhelujen ja viestien vastaanottamiseksi. Sinun tarvitsee vain syöttää PIN-koodi, kun käynnistät puhelimen uudelleen tai käynnistät sen virran katkaisemisen jälkeen, joten vaiva on minimaalista.
Muuten, jos olet tyytyväinen tekstiviestipohjaiseen 2FA:han ja olet huolissasi siitä, että sovelluspohjainen 2FA on niin "erilainen", että sitä on vaikea hallita, muista, että sovelluspohjaiset 2FA-koodit vaativat yleensä myös puhelimen, joten kirjautumistyönkulkusi ei muutu juurikaan.
Sen sijaan, että avaat puhelimen lukituksen, odotat koodin saapumista tekstiviestissä ja kirjoitat sitten koodin selaimeesi…
…avaat puhelimesi lukituksen, avaat todennussovelluksen, luet koodin sieltä ja kirjoitat sen selaimeesi. (Numerot muuttuvat yleensä 30 sekunnin välein, joten niitä ei voi käyttää uudelleen.)
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://nakedsecurity.sophos.com/2023/02/20/twitter-tells-users-pay-up-if-you-want-to-keep-using-insecure-2fa/
- 1
- 2022
- 2023
- 28
- 2FA
- 70
- 84
- a
- pystyy
- Meistä
- edellä
- absoluuttinen
- Hyväksyä
- Tili
- Tilit
- Toimia
- toimijoiden
- todella
- lisä-
- neuvot
- Jälkeen
- vastaan
- Tähtäimessä
- Kaikki
- jo
- Vaikka
- ja
- Ilmoitus
- Toinen
- vastaus
- sovelluksen
- näennäinen
- omena
- ulkomuoto
- hyökkäys
- Hyökkäykset
- houkutteleva
- Authentication
- kirjoittaja
- auto
- automaattisesti
- saatavissa
- takaisin
- background-image
- Huono
- perustua
- koska
- tulevat
- Alku
- sininen
- reunus
- pohja
- Rikki
- selain
- tiedotuslehti
- laskettu
- nimeltään
- Puhelut
- kortti
- Kortit
- kuljettaa
- Jatka
- tapaus
- kiinni
- keskus
- muuttaa
- koodi
- Koodit
- väri
- mukava
- Yritykset
- yritys
- komponentti
- huolenaiheet
- Suorittaa
- Harkita
- harkittu
- pitää
- ohjaus
- kurssi
- kattaa
- rikolliset
- Crooks
- Nykyinen
- leikkaus
- tietoverkkorikollisuuden
- verkkorikollisille
- tietoverkkojen
- päivätty
- päivä
- päivää
- kuollut
- päätti
- määritetty
- laite
- DID
- vaikea
- digitaalinen
- vammaiset
- näyttö
- ei
- tekee
- Dont
- kaksinkertainen
- alas
- vaikutus
- vaivaa
- Muut
- työntekijää
- käytössä
- päättyy
- Tekniikka
- tarpeeksi
- varmistaa
- enter
- Jopa
- Joka
- jokainen
- odottaa
- väärennös
- Ominaisuus
- harvat
- jälkeen
- lomakkeet
- Ilmainen
- Perjantai
- alkaen
- etuosa
- koko
- yleensä
- saada
- saada
- Antaa
- tietty
- Go
- Goes
- menee
- suuri
- Ryhmä
- Kova
- korkeus
- korkean profiilin
- pitää
- liihottaa
- Miten
- Miten
- Kuitenkin
- HTTPS
- laittomasti
- tärkeä
- tärkeä näkökohta
- parantaminen
- in
- sisältää
- sisältää
- Mukaan lukien
- sen sijaan
- tulkinta
- tutkia
- osallistuva
- liittyy
- IT
- ammattikieli
- tuloaan
- Pitää
- Tietää
- tunnettu
- uusin
- oppinut
- Led
- vastuu
- elämä
- Pitkät
- kauemmin
- Menettää
- tehdä
- monet
- maaliskuu
- Marginaali
- mestari
- max-width
- jäsen
- mainitsi
- viesti
- viestien
- menetelmä
- minimi
- vähemmistö
- Puhelinnumero
- kännykkä
- raha
- lisää
- nimi
- Tarve
- tarpeet
- verkko
- Uusi
- seuraava
- normaali
- numero
- numerot
- Vanha
- ONE
- verkossa
- avata
- Operations
- alun perin
- Muut
- muuten
- oma
- osa
- Salasana
- Paavali
- Maksaa
- ihmisten
- ehkä
- aika
- henkilö
- Phishing
- puhelin
- kappale
- tavallinen
- suunnitelma
- suunnitteilla
- Platon
- Platonin tietotieto
- PlatonData
- Ole hyvä
- pool
- Suosittu
- sijainti
- mahdollinen
- Viestejä
- teho
- valmis
- ensisijainen
- todennäköisesti
- prosessi
- Tuotteet
- ohjelmoitu
- suojattu
- mikäli
- julkisuus
- tarkoitus
- laittaa
- RE
- Lue
- reason
- tulot
- vastaanottaa
- vastaanottava
- muistaa
- poistaa
- raportti
- edellyttää
- REST
- paljastaa
- Riski
- turvallista
- Said
- Säästä
- sanoo
- sekuntia
- turvallinen
- turvallisesti
- turvallisuus
- näyttää
- lähettäminen
- Järjestys
- vakava
- palvelu
- Palvelut
- setti
- Kauppa
- Lyhyt
- näyttää
- Näytä
- KYLLÄ
- SIM-kortti
- SIM-vaihto
- yksinkertaistaa
- yksinkertaisesti
- taitoja
- pienempiä
- SMS
- So
- sosiaalinen
- Sosiaalinen insinööri
- vankka
- jonkin verran
- Joku
- jokseenkin
- lähde
- erityinen
- erityisesti
- Alkaa
- alkaa
- pysyä
- varastaa
- Yhä
- varastettu
- stop
- Lopettaa
- verkkokaupasta
- tallennettu
- tilaajat
- tuki
- SVG
- Vaihtaa
- järjestelmä
- ottaa
- ottaen
- kohdennettu
- tavoitteet
- kertoo
- kutoma
- -
- heidän
- Ajattele
- aika
- aikavyöhyke
- että
- liian
- ylin
- TOTP
- siirtyminen
- läpinäkyvä
- tiistai
- Sorvatut
- Kääntyminen
- viserrys
- tyypillisesti
- ymmärtäminen
- avata
- lukituksen
- URL
- käyttää
- käyttäjä
- Käyttäjät
- yleensä
- arvo
- kautta
- odotus
- Verkkosivu
- Mitä
- onko
- joka
- vaikka
- KUKA
- tulee
- halukas
- sanoja
- Referenssit
- työnkulku
- toimii
- huolestunut
- arvoinen
- olisi
- X
- vuotta
- Sinun
- itse
- zephyrnet