Το Twitter αποφάσισε να μην παρέχει πλέον έλεγχο ταυτότητας δύο παραγόντων (2FA) μέσω SMS σε χρήστες που δεν πληρώνουν για μια συνδρομή Twitter Blue. Ευτυχώς, υπάρχουν κι άλλες εναλλακτικές λύσεις για την προστασία των λογαριασμών.
Το Twitter ανακοίνωσε ότι οι χρήστες που δεν είναι χρήστες του Twitter Blue και χρησιμοποιούν τον έλεγχο ταυτότητας δύο παραγόντων μέσω SMS, πρέπει να στραφούν σε μια εναλλακτική μέθοδο έως τις 20 Μαρτίου 2023, διαφορετικά ο έλεγχος 2FA θα απενεργοποιηθεί.
“Αυτό το πρόσθετο βήμα βοηθά να βεβαιωθείτε ότι εσείς και μόνο εσείς μπορείτε να έχετε πρόσβαση στον λογαριασμό σας“, ανέφερε το Twitter σχετικά με τη διαδικασία.
Δείτε επίσης: Ο Elon Musk μέχρι το τέλος του 2023 θα ορίσει νέο CEO του Twitter
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
“Οι συνδρομητές που δεν ανήκουν στο Twitter Blue και είναι ήδη εγγεγραμμένοι, θα έχουν 30 ημέρες για να απενεργοποιήσουν αυτήν τη μέθοδο και να εγγραφούν σε άλλη“, προειδοποίησε το Twitter. “Μετά τις 20 Μαρτίου 2023, δεν θα επιτρέπουμε πλέον σε μη συνδρομητές του Twitter Blue να χρησιμοποιούν μηνύματα κειμένου ως μέθοδο 2FA“.
Σύμφωνα με μια πρόσφατη έκθεση του Twitter σχετικά με την ασφάλεια των λογαριασμών που καλύπτει την περίοδο Ιούλιος 2021-Δεκέμβριος 2021, μόνο το 2,6% των χρηστών χρησιμοποιεί ενεργά 2FA για πρόσθετη προστασία. Από αυτούς τους χρήστες, το 74,4% βασίζεται στο SMS 2FA, το 28,9 επιλέγει μια εφαρμογή ελέγχου ταυτότητας και το 0,5% προτιμά ένα hardware security key ως προτιμώμενη μέθοδο επαλήθευσης.
Ο Elon Musk αποκάλυψε ότι προβαίνουν σε αυτή την αλλαγή, δεδομένου ότι υφίστανται ετησίως απώλειες ύψους 60 εκατομμυρίων δολαρίων λόγω πλαστών μηνυμάτων SMS 2FA.
Ο Musk υποστήριξε ότι οι εφαρμογές ελέγχου ταυτότητας “είναι πολύ πιο ασφαλείς από τα SMS”, πιθανώς αναφερόμενος στον κίνδυνο επιθέσεων SIM-swapping σε κινητές συσκευές.
Δείτε επίσης: Πάροχος υπηρεσιών μηνύει το Twitter γιατί δεν πληρώθηκε
Κατά τις SIM-swapping επιθέσεις, οι επιτιθέμενοι παίρνουν τον έλεγχο του αριθμού κινητού τηλεφώνου ενός στόχου εξαπατώντας ή δωροδοκώντας τους υπαλλήλους της εταιρείας κινητής τηλεφωνίας για να εκχωρήσουν εκ νέου τους αριθμούς σε κάρτες SIM που ελέγχονται από τους εισβολείς. Αυτό δίνει τη δυνατότητα στους φορείς απειλών να χρησιμοποιούν τον αριθμό τηλεφώνου στις δικές τους συσκευές και να λαμβάνουν μηνύματα SMS του θύματος, συμπεριλαμβανομένων κωδικών ελέγχου ταυτότητας πολλαπλών παραγόντων SMS (MFA).
Επομένως, θα χρειαστεί να μεταβείτε σε μια εφαρμογή ελέγχου ταυτότητας ή σε ένα κλειδί ασφαλείας, εάν δεν έχετε συνδρομή στο Twitter Blue (αλλιώς δεν θα έχετε προστασία 2FA).
Αν και κάποιοι μπορεί να μην συμφωνούν με την εισαγωγή αυτής της πολιτικής, θα μπορούσε τελικά να οδηγήσει σε αυξημένη ασφάλεια για όσους αποφασίσουν να εξαιρεθούν από το Twitter Blue. Υπάρχουν πιο ασφαλείς μέθοδοι 2FA από το SMS.
Για μέγιστη ασφάλεια, ένα hardware security key, όπως το Google Titan ή το Yubikey, είναι η καλύτερη επιλογή. Θεωρούνται πιο ασφαλή καθώς είναι φυσικές συσκευές που πρέπει να είναι συνδεδεμένες σε υπολογιστή και να βρίσκονται στην κατοχή σας για να συνδεθείτε στον λογαριασμό σας. Επομένως, εάν κάποιος αποκτήσει πρόσβαση στα credentials σας, δεν μπορεί να παρακάμψει το 2FA, ακόμη κι αν κλέψει τα 2FA tokens με κάποιο τρόπο.
Μια εναλλακτική λύση είναι η χρήση μιας εφαρμογής ελέγχου ταυτότητας δύο παραγόντων, όπως το Google Authenticator, το Microsoft Authenticator και το Authy.
Εάν ένας εισβολέας αποκτήσει τις πληροφορίες σύνδεσής σας, δεν θα μπορέσει να συνδεθεί, χάρη στον μοναδικό κωδικό που δημιουργείται από την εφαρμογή κινητού σας. Αυτό το πρόσθετο μέτρο ασφαλείας αποτρέπει την πρόσβαση κακόβουλων χρηστών σε εμπιστευτικά δεδομένα και αυξάνει την ασφάλεια των λογαριασμών των χρηστών.
Δείτε επίσης: Το Twitter Blue εισάγει tweets 4.000 χαρακτήρων
Ένα από τα μεγαλύτερα μειονεκτήματα των εφαρμογών ελέγχου ταυτότητας είναι ότι αν χάσετε το τηλέφωνό σας, χάνετε ουσιαστικά την πρόσβαση στους κωδικούς 2FA, καθιστώντας έτσι δύσκολη και χρονοβόρα την αποκατάσταση της εισόδου σε ιστότοπους.
Το Microsoft Authenticator και το Authy, ωστόσο, παρέχουν στον χρήστη τη δυνατότητα δημιουργίας αντιγράφων ασφαλείας των ρυθμίσεων 2FA στο cloud για μελλοντική πρόσβαση σε περίπτωση απώλειας της συσκευής. Eάν χρησιμοποιείτε το Authy, βεβαιωθείτε ότι έχετε απενεργοποιήσει τη ρύθμιση “Allow Multi-device” όταν δεν μεταφέρετε κωδικούς σε άλλη συσκευή, καθώς εάν κλαπεί ο αριθμός τηλεφώνου σας, θα μπορούσε ενδεχομένως να χρησιμοποιηθεί για πρόσβαση στον λογαριασμό σας Authy.
Ανεξάρτητα από τη μέθοδο ελέγχου ταυτότητας που χρησιμοποιείτε, τα στατιστικά στοιχεία του Twitter δείχνουν ότι ένας μεγάλος αριθμός χρηστών δεν προστατεύει τους λογαριασμούς τους με το 2FA.
Συνιστάται ανεπιφύλακτα να ενεργοποιήσετε το 2FA σε όλους τους διαδικτυακούς λογαριασμούς που χρησιμοποιείτε, συμπεριλαμβανομένου του Twitter, για να ενισχύσετε την ασφάλειά σας! Με το έγκλημα στον κυβερνοχώρο να αυξάνεται κάθε χρόνο, η ρύθμιση του ελέγχου ταυτότητας δύο παραγόντων (2FA) για όλους τους διαδικτυακούς λογαριασμούς σας θα πρέπει να αποτελεί μία από τις κορυφαίες προτεραιότητές σας.
Πηγή: www.bleepingcomputer.com