כיצד אפשרות ה-2FA החדשה של טוויטר יכולה להפוך את החשבון שלך לאבטח יותר

אחרי כמעט חצי עשור של פשיעה סייבר גוברת ושנה פגומה הפרות בפרופיל גבוה, טוויטר מציעה תכונת אבטחה חדשה שיכולה לעזור להפחית את הסיכון של התקפות ממוקדות על חשבונות משתמש.

לפי פוסט בבלוג שפורסם ב-30 ביוני, ענקית המדיה החברתית מציעה כעת למשתמשים את האפשרות להפוך את מפתחות האבטחה הפיזיים לשיטה היחידה של שני גורמים אימות (2FA) - מהלך שעשוי לעזור להפוך חשבונות לאבטחים יותר תוך ביטול הדרישה הקודמת לגיבוי חלש יותר שיטות.

ובכל זאת, מומחים מזהירים שכל שיטה של ​​2FA מגיעה עם פשרות.

"הבעיה היא שאף אחת משיטות האימות הללו אינן באמת מוחלטות כפי שאנשים חושבים שהם", יוסף שטיינברג, מומחה 25 שנה לאבטחת סייבר ומחבר של מספר ספרים כולל אבטחת סייבר עבור Dummies, אמר ל-Lifewire בטלפון.

מפתחות אבטחה פיזיים, הסבר

לדברי שטיינברג, ישנם כמה סוגים של אימות רב-גורמי — כל אחד עם היתרונות והחסרונות שלו.

מפתחות אבטחה פיזיים, כמו אלה שמציעה טוויטר, הם מכשירים קטנים שמשתמשים צריכים חבר פיזית למכשירים האישיים שלהם, או סנכרן איתם כדי להיכנס לחשבונות שלהם - בדומה מפתחות רכב. זה מציע את היתרון של מניעת מהאקרים לגשת מרחוק לחשבונות באמצעות התקפות דיוג או תוכנות זדוניות.

על פי פוסט הבלוג של טוויטר, המפתחות "יכולים להבדיל בין אתרים לגיטימיים לאתרים זדוניים ולחסום ניסיונות דיוג ש-SMS או קודי אימות לא היו".

תיאורטית, המפתחות מציעים את פתרון האבטחה החזק ביותר למשתמשים - אך הם גם אחד הפתרונות הפחות נוחים למשתמשים יומיומיים.

"החיסרון הגדול הוא שכעת אתה צריך לשאת את המפתח בנוסף לטלפון שלך", הסביר שטיינברג. "אז אם אתה רוצה לצייץ מחוף הים, אתה נושא את הטלפון שלך ואת מפתח האבטחה."

שטיינברג גם הזהיר שמפתחות אבטחה פיזיים טומנים בחובם סיכון לאובדן, מה שעלול לגרום לנעילה של משתמש מחוץ לחשבון שלו.

איזון הפערים

שיטות אימות פחות מאובטחות, כמו שליחת קוד כניסה לטלפון הסלולרי שלך, לרוב נוחות יותר למשתמשים מאשר מפתחות אבטחה פיזיים - אך הן עלולות לשאת בסיכון גבוה יותר.

שטיינברג אמר שהאקרים יכולים ליירט קודי SMS באמצעות שיטות כמו החלפת סים, שבו גנבים גונבים מספר טלפון של משתמש ומקבלים את הקודים במכשיר שלהם.

"אם אתה מסתמך על הודעות טקסט ומישהו איכשהו גונב את מספר הטלפון שלך ומתחיל לקבל את הודעות הטקסט שלך, יש לך בעיה כי הם יקבלו את הקודים שלך והם יוכלו לאפס את הסיסמאות שלך", שטיינברג אמר.

אפליקציות אימות שמייצרות קוד כניסה חד פעמי הן שיטה פופולרית נוספת של 2FA, אך עדיין יש בהן סיכון של האקרים לגשת אליהן.

"אם משתמש מתחבר לאתר דיוג והוא מזין את הקוד הזה, אז יש לדיוג את הקוד הזה והוא יכול לשדר אותו לאמיתי אתר באופן מיידי", הסביר שטיינברג והוסיף כי קיים גם סיכון לאובדן הטלפון ולכן איבוד הגישה לאפליקציה.

אפילו שיטות מורכבות יותר, כמו אימות טביעות אצבע ביומטרי, יכולות לשאת סיכונים.

"טביעות האצבעות שלך נמצאות בכל הטלפון מהנגיעה בו", אמר שטיינברג והסביר שגנבים מתוחכמים יכול להרים את ההדפסים שלך ולהשתמש בהם כדי להיכנס למכשיר. "לחיישן טביעת האצבע אין דרך לקבוע אם מדובר באדם אמיתי ששם את האצבע שלו, לעומת מישהו ששם תמונה של טביעת אצבע שהוסר מהטלפון".

שקלול היתרונות

בשל אי הנוחות של נשיאת מפתח אבטחה פיזי נוסף, שטיינברג אמר שהוא לא רואה את רוב המשתמשים היומיומיים שעושים את המעבר מוצע על ידי טוויטר.

"הניסיון שלי היה שאפילו דברים שהם טרחה קטנה כשמדובר באבטחה - אלא אם מישהו נפרץ וסבל רציני השלכות - לא סביר שמישהו יחליף עכשיו כשיש מנגנונים קלים יותר שנחשבים לטובים מספיק", שטיינברג אמר.

ובכל זאת, שטיינברג אמר שקבוצות ספציפיות של משתמשים, כמו עסקים ואנשים בעלי פרופיל גבוה, יכולות להפיק תועלת ממפתחות אבטחה פיזיים.

אמנם אין פתרון מושלם לאבטחת חשבון המדיה החברתית של המשתמש, שטיינברג הדגיש כי כל צורה של ריבוי גורמים אימות עדיף על אף אחד, בשל העובדה שחשבונות חברתיים משמשים לעתים קרובות כדי להיכנס לחשבונות מחוברים אחרים פלטפורמות.

"אם אינך משתמש היום באימות דו-גורמי עבור חשבונות המדיה החברתית שלך - הפעל אותו", אמר שטיינברג.