Ako by nová možnosť 2FA od Twitteru mohla zvýšiť bezpečnosť vášho účtu

December 02, 2021
VNovinky Internetová Bezpečnosť

Kľúčové poznatky

Počítačová kriminalita je na vzostupe už takmer pol desaťročia, pričom phishingové útoky boli obzvlášť problematické v poslednom roku.
Od roku 2016 zažil Twitter niekoľko významných kybernetických útokov a teraz ponúka používateľom možnosť fyzických bezpečnostných kľúčov.
Spoločnosť tvrdí, že táto metóda je jedným z najsilnejších spôsobov zabezpečenia účtu.

Detailný záber na chytrý telefón s modrou obrazovkou Twitter a logom zobrazeným na nej. — Joshua Hoehne / Unsplash

Po takmer pol dekáde rastúca počítačová kriminalita a rok pokazený významné porušenia, Twitter ponúka novú bezpečnostnú funkciu, ktorá by mohla pomôcť zmierniť riziko cielených útokov na používateľské účty.

Podľa blogový príspevok uverejnený 30. júna, gigant sociálnych médií teraz ponúka používateľom možnosť, aby sa fyzické bezpečnostné kľúče stali jedinou dvojfaktorovou metódou autentifikácia (2FA) – krok, ktorý by mohol pomôcť zvýšiť bezpečnosť účtov a zároveň eliminovať predchádzajúcu požiadavku na slabšie zálohovanie metódy.

Odborníci však varujú, že každá metóda 2FA prichádza s kompromismi.

„Problém je v tom, že žiadna z týchto [metód overovania] nie je v skutočnosti taká absolútna, ako si ľudia myslia, že je,“ Jozefom Steinbergom, 25-ročný odborník na kybernetickú bezpečnosť a autor niekoľkých kníh vrátane Kybernetická bezpečnosť pre figuríny, povedal Lifewire telefonicky.

Fyzické bezpečnostné kľúče, vysvetlené

Podľa Steinberga existuje niekoľko typov viacfaktorovej autentifikácie — každý má svoje výhody a nevýhody.

Fyzické bezpečnostné kľúče, ako napríklad tie, ktoré ponúka Twitter, sú malé zariadenia, ktoré používatelia musia fyzicky pripojiť alebo synchronizovať svoje osobné zariadenia, aby sa mohli prihlásiť do svojich účtov – podobne kľúče od auta. To ponúka výhodu, že bráni hackerom vzdialene pristupovať k účtom prostredníctvom phishingových útokov alebo malvéru.

"...Je nepravdepodobné, že niekto prejde teraz, keď existujú jednoduchšie mechanizmy, ktoré sa považujú za dostatočne dobré."

Podľa blogového príspevku na Twitteri kľúče „môžu odlíšiť legitímne stránky od škodlivých a blokovať pokusy o phishing, ktoré by SMS alebo overovacie kódy nedokázali“.

Teoreticky kľúče ponúkajú používateľom najsilnejšie bezpečnostné riešenie, no zároveň sú jedným z najmenej pohodlných riešení pre bežných používateľov.

„Hlavnou nevýhodou je, že teraz musíte mať pri sebe okrem telefónu aj kľúč,“ vysvetlil Steinberg. "Takže ak chcete tweetovať z pláže, máte pri sebe telefón a bezpečnostný kľúč."

Steinberg tiež varoval, že fyzické bezpečnostné kľúče nesú riziko straty, čo môže viesť k zablokovaniu používateľa z jeho vlastného účtu.

Vyrovnávanie kompromisov

Menej bezpečné metódy overenia, ako je napríklad odoslanie prihlasovacieho kódu na váš mobilný telefón, sú pre používateľov často pohodlnejšie ako fyzické bezpečnostné kľúče – môžu však predstavovať vyššie riziko.

Steinberg povedal, že hackeri môžu zachytiť SMS kódy pomocou metód ako Výmena SIM, kde zlodeji ukradnú telefónne číslo používateľa a dostanú kódy na svoje vlastné zariadenie.

„Ak sa spoliehate na textové správy a niekto vám nejakým spôsobom ukradne telefónne číslo a začne dostávať vaše textové správy, máte problém, pretože dostanú vaše kódy a budú môcť obnoviť vaše heslá,“ Steinberg povedal.

Detailný záber na iPhone s obrazovkou s upozornením zobrazujúcou upozornenie služby Twitter. — Jamie Street / Unsplash

Aplikácie Authenticator, ktoré generujú jednorazový prihlasovací kód, sú ďalšou populárnou metódou 2FA, stále však nesú riziko, že sa k nim dostanú hackeri.

„Ak sa používateľ prihlasuje na phishingovú stránku a zadá tento kód, phisher má tento kód a môže ho preniesť stránky okamžite,“ vysvetlil Steinberg a dodal, že existuje aj riziko straty telefónu a tým aj straty prístupu k aplikácii.

Dokonca aj zložitejšie metódy, ako je biometrické overenie odtlačkov prstov, môžu prinášať riziká.

"Vaše odtlačky prstov sú po celom telefóne, keď sa ho dotknete," povedal Steinberg a vysvetlil, že sofistikovaní zlodeji môže zdvihnúť vaše výtlačky a použiť ich na prihlásenie do zariadenia. „Snímač odtlačkov prstov nedokáže určiť, či je to skutočný človek, ktorý tam vkladá prst, alebo niekto, kto vkladá obrázok odtlačku prsta, ktorý bol zdvihnutý z telefónu.“

Váženie výhod

Kvôli nepríjemnostiam s nosením ďalšieho fyzického bezpečnostného kľúča Steinberg povedal, že nevidí, že by väčšina bežných používateľov prepínala ponúkaná službou Twitter.

"Problémom je, že žiadna z týchto [metód overovania] nie je v skutočnosti taká absolútna, ako si ľudia myslia."

„Moja skúsenosť bola taká, že aj veci, ktoré sú malým problémom, pokiaľ ide o bezpečnosť – pokiaľ niekto nebol narušený a neutrpel vážne problémy dôsledky – je nepravdepodobné, že niekto prejde teraz, keď existujú jednoduchšie mechanizmy, ktoré sa považujú za dostatočne dobré,“ Steinberg povedal.

Napriek tomu Steinberg povedal, že špecifické skupiny používateľov, ako sú firmy a vysokopostavení jednotlivci, by mohli mať prospech z fyzických bezpečnostných kľúčov.

Hoci neexistuje dokonalé riešenie na zabezpečenie účtu používateľa na sociálnych sieťach, Steinberg zdôraznil, že akákoľvek forma viacfaktorového overenie je lepšie ako žiadne, pretože sociálne účty sa často používajú na prihlásenie do iných pripojených účtov platformy.

„Ak dnes nepoužívate pre svoje účty sociálnych médií dvojfaktorové overenie, zapnite ho,“ povedal Steinberg.