Twitter щойно послабив захист облікових записів для майже 368 мільйонів користувачів
Останній поворот в історії Twitter після того, як Ілон Маск купив компанію, є одним із найбільш тривожних на сьогодні. Здійснюючи справді дивний крок, який, здається, ставить гроші перед безпекою облікових записів, Twitter оголосив, що з 20 березня обмежить використання двофакторної автентифікації на основі SMS (2FA) для передплатників Twitter Blue.
Twitter відключає SMS 2FA для більшості користувачів
У повідомленні, опублікованому на сторінках двофакторної автентифікації довідкового центру Twitter, Twitter зазначає, що «З 20 березня 2023 року ми більше не підтримуватимемо двофакторну автентифікацію за допомогою текстових повідомлень для користувачів, які не підписалися на Twitter Blue». 368 мільйонів активних користувачів щомісяця, з яких менше 300 000, як вважають, підписані на Twitter Blue, що залишає величезну кількість людей із потенційно слабкою безпекою облікових записів. Дійсно, навіть якщо ви підписалися на Twitter Blue, це не означає, що ви обов’язково зможете використовувати 2FA на основі SMS. У повідомленні додано, що «доступність текстових повідомлень 2FA для Twitter Blue може відрізнятися залежно від країни та оператора».
Але зачекайте, ще більше божевілля безпеки Twitter
Усе стає ще дивнішим, коли ви розумієте, що сам Ілон Маск писав у Twitter, що програми автентифікації «набагато безпечніші, ніж SMS». Це означає, що він пропонує передплатникам Twitter Blue гіршу безпеку в обмін на їхні гроші. Правда, однак, набагато тривожніша. Коли справа доходить до 2FA на основі SMS, «широке визнання серед населення зробило його функцією безпеки величезної цінності», — каже Енді Кейс, генеральний директор спеціалістів із виявлення загроз Socura. Це незважаючи на властиві недоліки, які насправді роблять його менш безпечним варіантом, ніж використання програми автентифікації або апаратного ключа безпеки як другого фактора автентифікації облікового запису. «У короткостроковій перспективі видалення 2FA може завдати шкоди, особливо серед користувачів соціальних мереж, які менш обізнані в техніці», — попереджає Кейс, стверджуючи, що «більшість людей перейдуть від використання SMS 2FA до використання будь-якої форми 2FA. " БІЛЬШЕ ВІД FORBE. Reddit підтверджує, що його зламали – рекомендує користувачам налаштувати 2FA Дейві Віндер
Ймовірно, мотивом цього кроку стали гроші
Офіційна причина припинення використання SMS 2FA для більшості користувачів повторює твіт Маска про те, що він менш безпечний, ніж програми автентифікації. «Уже зареєстровані користувачі, які не підписалися на Twitter Blue, матимуть 30 днів, щоб вимкнути цей метод і зареєструватися в іншому. Після 20 березня 2023 року ми більше не дозволятимемо користувачам, які не підписалися на Twitter Blue, використовувати текстові повідомлення як метод 2FA». Інша, можливо, більш актуальна причина, ймовірно, фінансова. Я б попросив коментар у прес-службі Twitter, але його більше не існує, що ускладнює це. Однак відомо, що використання SMS для надсилання текстових повідомлень 2FA є платним, так само як відомо, що Twitter втрачає гроші після поглинання Маска. Зрештою, якщо причиною цього кроку була слабка безпека, навіщо залишати своїх платоспроможних клієнтів гірше з точки зору безпеки, ніж тих, хто користується послугою безкоштовно? БІЛЬШЕ ВІД FORBES. Ось як хакери отримали доступ до 34 942 облікових записів PayPal. Дейві Віндер
Щойно захист Twitter був послаблений для майже 368 мільйонів користувачів
Як би там не було, ефект простий: безпека Twitter була ослаблена для сотень мільйонів користувачів. А це, любий читачу, ніколи не буває добре. В ідеальному світі кожен би використовував фізичний, апаратний ключ автентифікації. Ми живемо не в ідеальному світі. Програми автентифікації є хорошим другом після фізичних ключів, безкоштовні та добре працюють. Але для звичайного користувача зручність перевершує безпеку. Ось чому 2FA на основі SMS настільки популярний. Це 'достатньо безпечно' для переважної більшості випадків використання, і краще, ніж без облікового запису 2FA взагалі. Без другого фактора автентифікації облікові записи стане набагато легше отримати, якщо паролі будуть скомпрометовані. Як і багато хто в сфері безпеки, я ламаю голову над тим, чому той, хто в Твіттері підписав це, вважав це хорошим кроком.
