לטוויטר יש הודיע שינוי מסקרן במערכת ה-2FA (אימות דו-גורמי) שלה.
השינוי ייכנס לתוקף בעוד זמן של כחודש, וניתן לסכם אותו בפשטות בקטע הקצר הבא של הדוגרי:
השימוש בטקסטים אינו בטוח עבור ביצוע 2FA, כך שאם אתה רוצה להמשיך כך תצטרך לשלם.
אמרנו למעלה "בערך של חודש" מכיוון שההכרזה של טוויטר היא מעט מעורפלת עם חישובי התאריכים והימים שלה.
עלון ההכרזה על המוצר, מיום 2023-02-15, אומר שמשתמשים עם הודעות טקסט (SMS) מבוססות 2FA "יש לך 30 יום להשבית שיטה זו ולהירשם לשיטה אחרת".
אם תכלול את יום ההכרזה באותה תקופה של 30 יום, הדבר מרמז ש-2FA מבוסס SMS יופסק ביום חמישי 2023-03-16.
אם אתה מניח שחלון 30 הימים מתחיל בתחילת היום המלא הבא, אתה מצפה ש-SMS 2FA ייפסק ביום שישי 2023-03-17.
עם זאת, העלון אומר זאת "לאחר ה-20 במרץ 2023, לא נאפשר עוד למנויים שאינם מנויי Twitter Blue להשתמש בהודעות טקסט כשיטת 2FA. באותו זמן, חשבונות שבהם הודעת טקסט 2FA עדיין מופעלת, ישבית אותו."
אם זה נכון בהחלט, אז 2FA מבוסס SMS מסתיים בתחילת יום שלישי 21 במרץ 2022 (באזור זמן לא ידוע), אם כי העצה שלנו היא לנקוט בפרשנות הקצרה ביותר האפשרית כדי שלא תיתפס.
SMS נחשב לא בטוח
במילים פשוטות, טוויטר החליטה, כפי שעשתה Reddit לפני כמה שנים, שקודי אבטחה חד-פעמיים שנשלחים באמצעות SMS אינם בטוחים יותר, מכיוון "למרבה הצער ראינו 2FA מבוסס מספרי טלפון בשימוש - ושימוש לרעה - על ידי שחקנים גרועים."
ההתנגדות העיקרית לקודי 2FA מבוססי SMS היא שפושעי סייבר נחושים למדו כיצד להערים, לשדל או פשוט לשחד עובדים בחברות טלפונים ניידים כדי לתת להם כרטיסי SIM חלופיים שתוכנתו עם מספר טלפון של מישהו אחר.
החלפה לגיטימית של כרטיס SIM שאבד, שבור או גנוב היא ללא ספק תכונה רצויה של רשת הטלפון הנייד, אחרת תצטרך לקבל מספר טלפון חדש בכל פעם שהחלפת SIM.
אבל הקלות לכאורה שבה חלק מהנוכלים למדו את כישורי ההנדסה החברתית כדי "להשתלט" על מספרים של אנשים אחרים, בדרך כלל במטרה מאוד ספציפית להגיע לקודי הכניסה שלהם ל-2FA, הובילה לפרסום רע עבור הודעות טקסט כמקור ל-2FA סודות.
סוג זה של עבריינות ידוע בעגה החלפת SIM, אבל זה לא ממש סוג של החלפה, בהתחשב בכך שניתן לתכנת מספר טלפון רק לכרטיס SIM אחד בכל פעם.
לכן, כאשר חברת הסלולר "מחליפה" סים, זה למעשה תחליף מוחלט, כי הסים הישן מת ולא יעבוד יותר.
כמובן, אם אתה מחליף את ה-SIM שלך בגלל שהטלפון שלך נגנב, זו תכונת אבטחה נהדרת, מכיוון שהיא משחזרת לך את המספר שלך, ומבטיחה שהגנב לא יוכל לבצע שיחות במטבע שלך, או להאזין ל- הודעות ושיחות.
אבל אם השולחנות הופכים, והנוכלים משתלטים על כרטיס הסים שלך באופן לא חוקי, ה"תכונה" הזו הופכת לאחריות כפולה, מכיוון שהפושעים מתחילים לקבל את ההודעות שלך, כולל קודי הכניסה שלך, ואתה לא יכול להשתמש בטלפון שלך לדווח על הבעיה!
האם זה באמת קשור לאבטחה?
האם השינוי הזה באמת נוגע לאבטחה, או שמא טוויטר פשוט שואפת לפשט את פעולות ה-IT שלה ולחסוך כסף על ידי צמצום מספר הודעות הטקסט שהיא צריכה לשלוח?
אנו חושדים שאם החברה באמת הייתה רצינית בנוגע לפרישה של אימות התחברות מבוסס SMS, זה היה דוחף את כל המשתמשים שלה לעבור למה שהיא מחשיבה לצורות בטוחות יותר של 2FA.
עם זאת, למרבה האירוניה, משתמשים שמשלמים עבור שירות טוויטר בלו, קבוצה שנראה כי כוללת משתמשים בעלי פרופיל גבוה או פופולריים שלדעתנו החשבונות שלהם הם יעדים אטרקטיביים הרבה יותר עבור פושעי סייבר...
... יורשה להמשיך להשתמש בתהליך 2FA שאינו נחשב מספיק בטוח עבור כל השאר.
התקפות החלפת סים קשה לפושעים לבצע בכמויות, מכיוון שהחלפת סים כרוכה לרוב בשליחת "פרד" (חבר כנופיית סייבר או "שותף" שמוכן או נואש מספיק להסתכן בהופעה אישית כדי לבצע פשע רשת) להיכנס לחנות טלפונים ניידים, אולי עם תעודה מזהה מזויפת, כדי לנסות להשיג מספר מסוים.
במילים אחרות, נראה שהתקפות החלפת סים לרוב מתוכננות מראש, מתוכננות וממוקדות, על סמך חשבון שהפושעים כבר יודעים עליו את שם המשתמש והסיסמה, ושם הם חושבים שהערך של החשבון שהם הולכים להשתלט עליו. שווה את הזמן, המאמץ והסיכון להיתפס בשעת מעשה.
לכן, אם בכל זאת תחליט ללכת על Twitter Blue, אנו מציעים שלא תמשיך להשתמש ב-2FA מבוסס SMS, למרות שיתאפשר לך, כי אתה פשוט תצטרף למאגר קטן יותר של יעדים טעימים יותר עבור כנופיות סייבר מחליפות SIM כדי לתקוף.
היבט חשוב נוסף בהכרזה של טוויטר הוא שלמרות שהחברה כבר לא מוכנה לשלוח לך קודי 2FA באמצעות SMS בחינם, ומציינת חששות אבטחה כסיבה, היא לא תמחק את מספר הטלפון שלך ברגע שהיא תפסיק לשלוח לך הודעות טקסט.
למרות שטוויטר כבר לא תצטרך את המספר שלך, ולמרות שאולי סיפקת אותו במקור מתוך הבנה שהוא ישמש במיוחד למטרת שיפור אבטחת הכניסה, תצטרך לזכור להיכנס ולמחוק אותו בעצמך.
מה לעשות?
- אם אתה כבר, או מתכוון להיות, חבר בטוויטר בלו, שקול לעבור מ-2FA מבוסס SMS בכל מקרה. כפי שהוזכר לעיל, התקפות החלפת SIM נוטות להיות ממוקדות, מכיוון שקשה לבצע אותן בכמויות גדולות. לכן, אם קודי התחברות מבוססי SMS אינם בטוחים מספיק עבור שאר טוויטר, הם יהיו אפילו פחות בטוחים עבורך ברגע שאתה חלק מקבוצת משתמשים קטנה ומובחרת יותר.
- אם אתה משתמש שאינו טוויטר כחול עם SMS 2FA מופעל, שקול לעבור ל-2FA מבוסס אפליקציה במקום זאת. בבקשה אל תתנו ל-2FA שלכם לחלוף ולחזור לאימות סיסמה ישנה רגילה אם אתם מהמיעוט המודע לאבטחה שכבר החליט לקבל את אי הנוחות הצנועה של 2FA בחייכם הדיגיטליים. הישאר בחוץ בתור מגמת אבטחת סייבר!
- אם נתת לטוויטר את מספר הטלפון שלך במיוחד עבור הודעות 2FA, אל תשכח ללכת ולהסיר אותו. טוויטר לא תמחק מספרי טלפון מאוחסנים באופן אוטומטי.
- אם אתה כבר משתמש באימות מבוסס אפליקציה, זכור שקודי ה-2FA שלך אינם מאובטחים יותר מהודעות SMS נגד דיוג. קודי 2FA מבוססי אפליקציה מוגנים בדרך כלל על ידי קוד הנעילה של הטלפון שלך (מכיוון שרצף הקודים מבוסס על מספר "זרע" המאוחסן בצורה מאובטחת בטלפון שלך), ולא ניתן לחשב אותם בטלפון של מישהו אחר, גם אם הוא שם את ה-SIM שלך לתוך המכשיר שלהם. אבל אם אתה חושף בטעות את קוד הכניסה האחרון שלך על ידי הקלדת אותו באתר מזויף יחד עם הסיסמה שלך, נתת לנוכלים את כל מה שהם צריכים בכל מקרה, בין אם הקוד הזה הגיע מאפליקציה או באמצעות הודעת טקסט.
- אם הטלפון שלך מאבד את השירות הסלולרי באופן בלתי צפוי, בדוק מיד למקרה שהחלפת לך כרטיס SIM. גם אם אינך משתמש בטלפון שלך עבור קודי 2FA, נוכל שיש לו שליטה על המספר שלך יכול בכל זאת לשלוח ולקבל הודעות על שמך, ויכול לבצע ולענות לשיחות תוך כדי התחזות שאתה אתה. היו מוכנים להופיע בחנות טלפונים ניידים באופן אישי, וקחו אתכם את תעודת הזהות ואת קבלות החשבון אם אתם יכולים.
- אם לא הגדרת קוד PIN ב-SIM של הטלפון שלך, תשקול לעשות זאת כעת. גנב שגונב את הטלפון שלך כנראה לא יוכל לפתוח אותו, בהנחה שהגדרת קוד נעילה הגון. אל תקל עליהם פשוט להוציא את ה-SIM שלך ולהכניס אותו למכשיר אחר כדי להשתלט על השיחות וההודעות שלך. תצטרך להזין את ה-PIN רק כשאתה מאתחל את הטלפון שלך או מפעיל אותו לאחר כיבוי, כך שהמאמץ הכרוך בכך הוא מינימלי.
אגב, אם אתה מרגיש בנוח עם 2FA מבוסס SMS, ואתה חושש ש-2FA מבוסס אפליקציות הוא מספיק "שונה" כך שיהיה קשה לשלוט בו, זכור שגם קודי 2FA מבוססי אפליקציות דורשים בדרך כלל טלפון, אז זרימת העבודה של ההתחברות שלך לא משתנה הרבה בכלל.
במקום לפתוח את הטלפון שלך, לחכות לקוד שיגיע בהודעת טקסט, ואז להקליד את הקוד הזה בדפדפן שלך...
...אתה פותח את הטלפון שלך, פותח את אפליקציית המאמת שלך, קורא את הקוד משם ומקליד אותו בדפדפן שלך במקום זאת. (המספרים משתנים בדרך כלל כל 30 שניות כך שלא ניתן לעשות בהם שימוש חוזר).
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/02/20/twitter-tells-users-pay-up-if-you-want-to-keep-using-insecure-2fa/
- 1
- 2022
- 2023
- 28
- 2FA
- 70
- 84
- a
- יכול
- אודות
- מֵעַל
- מוּחלָט
- לְקַבֵּל
- חֶשְׁבּוֹן
- חשבונות
- לפעול
- שחקנים
- למעשה
- הוסיף
- עצה
- לאחר
- נגד
- מכוון
- תעשיות
- כְּבָר
- למרות
- ו
- הַכרָזָה
- אחר
- לענות
- האפליקציה
- לכאורה
- תפוח עץ
- אספקט
- לתקוף
- המתקפות
- מושך
- אימות
- מחבר
- המכונית
- באופן אוטומטי
- זמין
- בחזרה
- רקע תמונה
- רע
- מבוסס
- כי
- להיות
- ההתחלה
- כָּחוֹל
- גבול
- תַחתִית
- שבור
- דפדפן
- עלון
- מחושב
- נקרא
- שיחות
- כרטיס
- כרטיסים
- לשאת
- Carry On
- מקרה
- נתפס
- מרכז
- שינוי
- קוד
- קופונים
- צֶבַע
- נוח
- חברות
- חברה
- רְכִיב
- דאגות
- לנהל
- לשקול
- נחשב
- רואה
- לִשְׁלוֹט
- קורס
- לכסות
- פושעים
- קרוקס
- נוֹכְחִי
- גזירה
- פשעי אינטרנט
- עברייני אינטרנט
- אבטחת סייבר
- תאריכים
- יְוֹם
- ימים
- מת
- החליט
- נחוש
- מכשיר
- DID
- קשה
- דיגיטלי
- נכה
- לְהַצִיג
- לא
- עושה
- לא
- לְהַכפִּיל
- מטה
- השפעה
- מאמץ
- של אחרים
- עובדים
- מופעל
- מסתיים
- הנדסה
- מספיק
- מבטיח
- זן
- אֲפִילוּ
- כל
- כולם
- לצפות
- מְזוּיָף
- מאפיין
- מעטים
- הבא
- צורות
- חופשי
- יום שישי
- החל מ-
- חזית
- מלא
- בדרך כלל
- לקבל
- מקבל
- לתת
- נתן
- Go
- Goes
- הולך
- גדול
- קְבוּצָה
- קשה
- גובה
- פרופיל גבוה
- להחזיק
- לרחף
- איך
- איך
- אולם
- HTTPS
- באופן בלתי חוקי
- חשוב
- היבט חשוב
- שיפור
- in
- לכלול
- כולל
- כולל
- במקום
- פענוח
- לחקור
- מעורב
- כרוך
- IT
- בז'רגון
- הצטרפות
- שמור
- לדעת
- ידוע
- האחרון
- למד
- הוביל
- אחריות
- החיים
- ארוך
- עוד
- מאבד
- לעשות
- רב
- צעדה
- שולים
- אב
- max-width
- חבר
- מוּזְכָּר
- הודעה
- הודעות
- שיטה
- מינימלי
- מיעוט
- סלולרי
- טלפון סלולרי
- כסף
- יותר
- שם
- צורך
- צרכי
- רשת
- חדש
- הבא
- נוֹרמָלִי
- מספר
- מספרים
- זקן
- ONE
- באינטרנט
- לפתוח
- תפעול
- בְּמָקוֹר
- אחר
- אַחֶרֶת
- שֶׁלוֹ
- חלק
- סיסמה
- פול
- תשלום
- אנשיו של
- אוּלַי
- תקופה
- אדם
- דיוג
- טלפון
- לְחַבֵּר
- מישור
- תכנית
- מתוכנן
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אנא
- בריכה
- פופולרי
- עמדה
- אפשרי
- הודעות
- כּוֹחַ
- מוּכָן
- יְסוֹדִי
- כנראה
- תהליך
- המוצר
- מתוכנה
- מוּגָן
- ובלבד
- פִּרסוּם
- מטרה
- גם
- RE
- חומר עיוני
- טעם
- קבלות
- לקבל
- קבלה
- לזכור
- להסיר
- לדווח
- לדרוש
- REST
- לגלות
- הסיכון
- בטוח
- אמר
- שמור
- אומר
- שניות
- לבטח
- מאובטח
- אבטחה
- נראה
- שליחה
- רצף
- רציני
- שרות
- שירותים
- סט
- חנות
- קצר
- לְהַצִיג
- הופעות
- כן
- כרטיס ה- SIM
- החלפת SIM
- לפשט
- בפשטות
- מיומנויות
- קטן יותר
- SMS
- So
- חֶברָתִי
- הנדסה חברתית
- מוצק
- כמה
- מישהו
- במידה מסוימת
- מָקוֹר
- ספציפי
- במיוחד
- התחלה
- התחלות
- להשאר
- גונב
- עוד
- גָנוּב
- עצור
- עוצר
- חנות
- מאוחסן
- מנוי
- תמיכה
- SVG
- מתג
- מערכת
- לקחת
- נטילת
- ממוקד
- מטרות
- אומר
- הודעות SMS
- השמיים
- שֶׁלָהֶם
- לחשוב
- זמן
- אזור זמן
- ל
- גַם
- חלק עליון
- TOTP
- מַעֲבָר
- שָׁקוּף
- יום שלישי
- הסתובב
- פנייה
- בדרך כלל
- הבנה
- לפתוח
- נעילה
- כתובת האתר
- להשתמש
- משתמש
- משתמשים
- בְּדֶרֶך כְּלַל
- ערך
- באמצעות
- הַמתָנָה
- אתר
- מה
- אם
- אשר
- בזמן
- מי
- יצטרך
- מוכן
- מילים
- תיק עבודות
- זרימת עבודה
- עובד
- מודאג
- ראוי
- היה
- X
- שנים
- עצמך
- זפירנט