Twitter только что ослабил безопасность учетных записей почти для 368 миллионов пользователей
Последний поворот в истории Twitter с тех пор, как Илон Маск купил компанию, является одним из самых тревожных на сегодняшний день. Сделав действительно странный шаг, который, кажется, ставит копейки выше безопасности учетной записи, Twitter объявил, что с 20 марта ограничит использование двухфакторной аутентификации на основе SMS (2FA) для подписчиков Twitter Blue.
Twitter отключил SMS 2FA для большинства пользователей
В уведомлении, размещенном на страницах двухфакторной аутентификации справочного центра Twitter, Twitter заявляет, что «с 20 марта 2023 года мы больше не будем поддерживать двухфакторную аутентификацию с использованием текстовых сообщений для подписчиков, не являющихся подписчиками Twitter Blue». до 368 миллионов активных пользователей в месяц, из которых менее 300 000 подписаны на Twitter Blue, что оставляет огромное количество людей с потенциально ослабленной безопасностью учетной записи. Действительно, даже если вы являетесь подписчиком Twitter Blue, это не означает, что вы обязательно сможете использовать 2FA на основе SMS. В объявлении добавлено, что «доступность текстового сообщения 2FA для Twitter Blue может варьироваться в зависимости от страны и оператора связи».
Но подождите, есть еще безумие безопасности Твиттера
Все становится еще более странным, когда вы понимаете, что сам Илон Маск написал в Твиттере, что приложения для аутентификации «намного более безопасны, чем SMS». Это может означать, что он предлагает подписчикам Twitter Blue худшую безопасность в обмен на их деньги. Однако правда гораздо более тревожна. Когда дело доходит до двухфакторной аутентификации на основе SMS, «ее широкое признание среди населения в целом сделало ее очень ценной функцией безопасности», — говорит Энди Кейс, генеральный директор Socura, специализирующейся на обнаружении угроз. И это несмотря на врожденные недостатки, которые на самом деле делают его менее безопасным вариантом, чем использование приложения для аутентификации или аппаратного ключа безопасности в качестве второго фактора аутентификации учетной записи. "В краткосрочной перспективе удаление 2FA может быть вредным, особенно для менее технически подкованных пользователей соцсетей", – предупреждает Кейс, утверждая, что "большинство людей перейдут от использования 2FA через SMS к тому, чтобы вообще не использовать 2FA". «БОЛЬШЕ ОТ FORBESReddit подтверждает, что это было взломано — рекомендует пользователям установить 2FAB» Дэйви Уиндер
Деньги, вероятно, мотив этого шага
Официальная причина прекращения использования SMS 2FA для большинства пользователей перекликается с твитом Маска о том, что он менее безопасен, чем приложения для аутентификации. «У уже зарегистрированных подписчиков, не являющихся подписчиками Twitter Blue, будет 30 дней, чтобы отключить этот метод и зарегистрироваться другим. После 20 марта 2023 года мы больше не будем разрешать подписчикам, не являющимся подписчиками Twitter Blue, использовать текстовые сообщения в качестве метода 2FA». Другая, возможно, более насущная причина, скорее всего, носит финансовый характер. Я бы попросил прокомментировать пресс-службу Твиттера, но ее больше не существует, что делает это весьма затруднительным. Тем не менее, известно, что использование SMS для отправки текстовых сообщений 2FA обходится дорого, так же как известно, что Twitter теряет деньги после поглощения Маска. В конце концов, если причиной переезда была более слабая безопасность, то зачем оставлять платных клиентов в худшем положении с точки зрения безопасности, чем тех, кто пользуется сервисом бесплатно? БОЛЬШЕ ОТ FORBESВот как хакеры получили доступ к 34 942 счетам PayPalДэйви Уиндер
Безопасность Twitter была ослаблена почти для 368 миллионов пользователей.
Как бы то ни было, эффект прост: безопасность Твиттера только что была ослаблена для сотен миллионов пользователей. А это, дорогой читатель, никогда не бывает хорошим. В идеальном мире каждый использовал бы физический аппаратный ключ аутентификации. Мы живем не в идеальном мире. Приложения для аутентификации являются хорошей альтернативой физическим ключам, они бесплатны и хорошо работают. Но для обычного пользователя удобство превыше безопасности. Вот почему двухфакторная аутентификация на основе SMS так популярна. Он «достаточно безопасен» для подавляющего большинства случаев использования и предпочтительнее, чем двухфакторная аутентификация вообще без учетной записи. Без второго фактора аутентификации становится намного проще завладеть учетными записями, если пароли будут скомпрометированы. Как и многие в сфере безопасности, я ломаю голову над тем, почему тот, кто подписал это в Твиттере, посчитал это хорошим ходом.
