Как новата 2FA опция на Twitter може да направи вашия акаунт по-сигурен
Ключови изводи
- Киберпрестъпността нараства от близо половин десетилетие, като фишинг атаките бяха особено проблематични през последната година.
- От 2016 г. насам Twitter претърпя няколко високопрофилни кибератаки и сега предлага на потребителите възможността за физически ключове за сигурност.
- Компанията твърди, че методът е един от най-силните начини за защита на акаунт.
Джошуа Хьоне / Unsplash
След близо половин десетилетие на нарастващата киберпрестъпност и година, помрачена от високопрофилни пробиви, Twitter предлага нова функция за сигурност, която може да помогне за смекчаване на риска от целенасочени атаки върху потребителски акаунти.
Според публикация в блог, публикувана на 30 юни, гигантът на социалните медии вече предлага на потребителите възможността да превърнат физическите ключове за сигурност в единствения си двуфакторен метод удостоверяване (2FA) – ход, който може да помогне за по-сигурни акаунти, като същевременно елиминира предишното изискване за по-слабо архивиране методи.
Все пак експертите предупреждават, че всеки метод на 2FA идва с компромиси.
"Проблемът е, че нито един от тези [методи за удостоверяване] не е толкова абсолютен, колкото хората си мислят, че е", Джоузеф Стайнберг, 25-годишен експерт по киберсигурност и автор на няколко книги, включително Киберсигурност за манекени, каза пред Lifewire по телефона.
Физически ключове за сигурност, обяснено
Според Steinberg има няколко вида многофакторна автентификация - всеки със своите предимства и недостатъци.
Физическите ключове за сигурност, като тези, предлагани от Twitter, са малки устройства, които потребителите трябва да използват физически да се включат или синхронизират с личните си устройства, за да влязат в акаунтите им – подобно на ключове за кола. Това предлага предимството да не позволява на хакерите да имат отдалечен достъп до акаунти чрез фишинг атаки или злонамерен софтуер.
„...Малко вероятно е някой да смени сега, когато има по-лесни механизми, които се считат за достатъчно добри.“
Според публикацията в блога на Twitter, ключовете „могат да разграничат легитимните сайтове от злонамерените и да блокират опитите за фишинг, които SMS или кодовете за потвърждение не биха могли“.
Теоретично, ключовете предлагат най-силното решение за сигурност за потребителите, но те са и едно от най-неудобните решения за обикновените потребители.
„Основният недостатък е, че сега трябва да носите ключа в допълнение към телефона си“, обясни Стайнбърг. "Така че, ако искате да туитвате от плажа, носите телефона си и ключа за сигурност."
Steinberg също така предупреди, че физическите ключове за сигурност крият риск от загуба, което може да доведе до блокиране на потребителя от собствения си акаунт.
Балансиране на компромисите
По-малко сигурните методи за удостоверяване, като изпращане на код за вход на мобилния ви телефон, често са по-удобни за потребителите от физическите ключове за сигурност, но могат да носят по-висок риск.
Стайнбърг каза, че хакерите могат да прихващат SMS кодове чрез методи като Смяна на SIM, където крадците крадат телефонния номер на потребител и получават кодовете на собственото си устройство.
„Ако разчитате на текстови съобщения и някой по някакъв начин открадне телефонния ви номер и започне да получава вашите текстови съобщения, имате проблем, защото те ще получат вашите кодове и ще могат да нулират паролите ви", Стайнбърг казах.
Джейми Стрийт / Unsplash
Приложенията за удостоверяване, които генерират код за еднократно влизане, са друг популярен метод на 2FA, но те все още носят риск от достъп от хакери.
„Ако потребител влиза в фишинг сайт и въвежда този код, тогава фишърът има този код и може да го предаде на истинския сайт незабавно“, обясни Стайнбърг, добавяйки, че има и риск от загуба на телефона и следователно от загуба на достъп до приложението.
Дори по-сложните методи, като биометрично удостоверяване на пръстови отпечатъци, могат да носят рискове.
„Вашите пръстови отпечатъци са навсякъде по телефона от докосването му“, каза Стайнбърг, обяснявайки, че сложните крадци може да повдигне вашите отпечатъци и да ги използва за влизане в устройство. "Сензорът за пръстови отпечатъци няма начин да определи дали това е истински човек, който поставя пръста си там, срещу някой, който поставя изображение на пръстов отпечатък, който е вдигнат от телефона."
Претегляне на ползите
Поради неудобството при носенето на допълнителен физически ключ за сигурност, Стайнбърг каза, че не вижда повечето обикновени потребители, които извършват превключването, да се предлагат от Twitter.
„Проблемът е, че нито един от тези [методи за удостоверяване] не е наистина толкова абсолютен, колкото хората си мислят, че са.“
„Опитът ми е, че дори неща, които са малка караница, когато става въпрос за сигурност – освен ако някой не е бил пробит и е пострадал сериозно последствия - малко вероятно е някой да смени сега, когато има по-лесни механизми, които се считат за достатъчно добри", Стайнбърг казах.
Все пак Стайнбърг каза, че специфични групи потребители, като фирми и високопоставени лица, могат да се възползват от физически ключове за сигурност.
Въпреки че няма идеално решение за осигуряване на акаунта на потребителя в социалните медии, Стайнбърг подчерта, че всяка форма на многофакторни удостоверяването е по-добро от никакво, поради факта, че социалните акаунти често се използват за влизане в други свързани акаунти през платформи.
„Ако днес не използвате двуфакторно удостоверяване за вашите акаунти в социалните медии – включете го“, каза Стайнбърг.