Jak by nová možnost 2FA od Twitteru mohla zvýšit bezpečnost vašeho účtu

December 02, 2021
VZprávy Internetová Bezpečnost

Klíčové věci

Kyberkriminalita je na vzestupu již téměř půl desetiletí, přičemž phishingové útoky byly obzvláště problematické v posledním roce.
Od roku 2016 zažil Twitter několik významných kybernetických útoků a nyní nabízí uživatelům možnost fyzických bezpečnostních klíčů.
Společnost tvrdí, že metoda je jedním z nejsilnějších způsobů, jak zabezpečit účet.

Detailní záběr na chytrý telefon s modrou obrazovkou Twitteru a logem zobrazeným na něm. — Joshua Hoehne / Unsplash

Po téměř půl dekádě rostoucí kybernetická kriminalita a rok pokazený narušení vysokého profilu, Twitter nabízí novou bezpečnostní funkci, která by mohla pomoci zmírnit riziko cílených útoků na uživatelské účty.

Podle blogový příspěvek zveřejněný 30. červnaGigant sociálních sítí nyní nabízí uživatelům možnost učinit z fyzických bezpečnostních klíčů jedinou dvoufaktorovou metodu autentizace (2FA) – krok, který by mohl pomoci zvýšit zabezpečení účtů a zároveň eliminovat předchozí požadavek na slabší zálohování metody.

Přesto odborníci varují, že každá metoda 2FA přichází s kompromisy.

„Problém je v tom, že žádná z těchto [metod ověřování] není ve skutečnosti tak absolutní, jak si lidé myslí, že jsou,“

Josef Steinberg, 25letý odborník na kybernetickou bezpečnost a autor několika knih, včetně Kybernetická bezpečnost pro figuríny, řekl Lifewire po telefonu.

Fyzické bezpečnostní klíče, vysvětleno

Podle Steinberga existuje několik typů vícefaktorové autentizace – každý má své výhody a nevýhody.

Fyzické bezpečnostní klíče, jako jsou ty, které nabízí Twitter, jsou malá zařízení, která uživatelé musí fyzicky připojit nebo synchronizovat svá osobní zařízení, aby se mohli přihlásit ke svým účtům – podobně jako klíče od auta. To nabízí výhodu v tom, že brání hackerům ve vzdáleném přístupu k účtům prostřednictvím phishingových útoků nebo malwaru.

"...Je nepravděpodobné, že někdo přejde nyní, když existují jednodušší mechanismy, které jsou považovány za dostatečně dobré."

Podle blogového příspěvku na Twitteru klíče „mohou odlišit legitimní stránky od škodlivých a blokovat pokusy o phishing, které by SMS nebo ověřovací kódy nedokázaly“.

Teoreticky klíče nabízejí uživatelům nejsilnější bezpečnostní řešení – ale jsou také jedním z nejméně pohodlných řešení pro každodenní uživatele.

„Hlavní nevýhodou je, že nyní musíte nosit kromě telefonu i klíč,“ vysvětlil Steinberg. "Takže pokud chcete tweetovat z pláže, máte u sebe telefon a bezpečnostní klíč."

Steinberg také varoval, že fyzické bezpečnostní klíče s sebou nesou riziko ztráty, což by mohlo vést k tomu, že uživatel bude uzamčen ze svého vlastního účtu.

Vyvažování kompromisů

Méně bezpečné metody ověřování, jako je zaslání přihlašovacího kódu textovou zprávou na váš mobilní telefon, jsou pro uživatele často pohodlnější než fyzické bezpečnostní klíče – ale mohou s sebou nést vyšší riziko.

Steinberg řekl, že hackeři mohou zachytit SMS kódy pomocí metod, jako je Výměna SIM, kde zloději ukradnou telefonní číslo uživatele a obdrží kódy na své vlastní zařízení.

"Pokud se spoléháte na textové zprávy a někdo nějak ukradne vaše telefonní číslo a začne dostávat vaše textové zprávy, máte problém, protože dostanou vaše kódy a budou moci resetovat vaše hesla,“ Steinberg řekl.

Detailní záběr na iPhone s oznamovací obrazovkou zobrazující oznámení Twitteru. — Jamie Street / Unsplash

Aplikace Authenticator, které generují jednorázový přihlašovací kód, jsou další populární metodou 2FA, ale stále s sebou nesou riziko, že k nim budou mít přístup hackeři.

„Pokud se uživatel přihlásí na phishingový web a zadá tento kód, phisher pak má tento kód a může jej přenést do skutečné stránky okamžitě,“ vysvětlil Steinberg a dodal, že existuje také riziko ztráty telefonu, a tím i ztráty přístupu k aplikaci.

I složitější metody, jako je biometrické ověřování otisků prstů, mohou přinášet rizika.

"Vaše otisky prstů jsou po celém telefonu, když se ho dotknete," řekl Steinberg a vysvětlil, že důmyslní zloději může zvednout vaše otisky a použít je k přihlášení do zařízení. "Snímač otisků prstů nemá způsob, jak určit, zda je to skutečný člověk, který tam vkládá prst, nebo někdo, kdo vkládá obrázek otisku prstu, který byl zvednut z telefonu."

Vážení výhod

Kvůli nepohodlnosti nošení dalšího fyzického bezpečnostního klíče Steinberg řekl, že nevidí většinu běžných uživatelů, kteří by provedli přechod, který Twitter nabízí.

"Problém je v tom, že žádná z těchto [metod ověřování] není ve skutečnosti tak absolutní, jak si lidé myslí, že jsou."

„Moje zkušenost je taková, že i věci, které jsou malým problémem, pokud jde o bezpečnost – pokud někdo nebyl narušen a neutrpěl vážné problémy důsledky – je nepravděpodobné, že by někdo přešel nyní, když existují jednodušší mechanismy, které jsou považovány za dostatečně dobré,“ Steinberg řekl.

Přesto Steinberg řekl, že specifické skupiny uživatelů, jako jsou firmy a vysoce postavení jednotlivci, by mohly mít prospěch z fyzických bezpečnostních klíčů.

I když neexistuje dokonalé řešení pro zabezpečení účtu uživatele na sociálních sítích, Steinberg zdůraznil, že jakákoli forma vícefaktorového autentizace je lepší než žádná, protože sociální účty se často používají k přihlášení k jiným připojeným účtům napříč platformy.

„Pokud dnes pro své účty na sociálních sítích nepoužíváte dvoufaktorové ověřování, zapněte ho,“ řekl Steinberg.