Kako bi lahko nova možnost 2FA v Twitterju naredila vaš račun bolj varen
Ključni odvzemi
- Kibernetski kriminal je v porastu že skoraj pol desetletja, pri čemer so bili v zadnjem letu še posebej problematični napadi z lažnim predstavljanjem.
- Od leta 2016 je Twitter doživel več odmevnih kibernetskih napadov in zdaj uporabnikom ponuja možnost fizičnih varnostnih ključev.
- Podjetje trdi, da je metoda eden najmočnejših načinov za zaščito računa.
Po skoraj pol desetletja naraščajoči kibernetski kriminal in leto, ki ga je motilo odmevne kršitve, Twitter ponuja novo varnostno funkcijo, ki bi lahko pomagala zmanjšati tveganje ciljnih napadov na uporabniške račune.
Po navedbah objava v blogu, objavljena 30. junija, velikan družbenih medijev zdaj uporabnikom ponuja možnost, da fizične varnostne ključe naredijo za edino dvofaktorsko metodo avtentikacija (2FA) – poteza, ki bi lahko pripomogla k večji varnosti računov, hkrati pa odpravila prejšnjo zahtevo po šibkejši varnostni kopiji metode.
Kljub temu strokovnjaki opozarjajo, da ima vsaka metoda 2FA kompromise.
"Težava je v tem, da nobena od teh [metod preverjanja pristnosti] ni tako absolutna, kot si ljudje mislijo," Joseph Steinberg, 25-letni strokovnjak za kibernetsko varnost in avtor več knjig, med drugim Kibernetska varnost za lutke, so za Lifewire povedali po telefonu.
Fizični varnostni ključi, razloženo
Steinberg pravi, da obstaja več vrst večfaktorske avtentikacije - vsaka ima svoje prednosti in slabosti.
Fizični varnostni ključi, kot jih ponuja Twitter, so majhne naprave, ki jih morajo uporabniki fizično priključite svoje osebne naprave ali sinhronizirate z njimi, da se prijavite v njihove račune – podobno Avtomobilski ključi. To ponuja prednost, da hekerjem prepreči oddaljeni dostop do računov z lažnim predstavljanjem ali zlonamerno programsko opremo.
"...Malo verjetno je, da bo kdo zamenjal zdaj, ko obstajajo lažji mehanizmi, za katere velja, da so dovolj dobri."
Glede na objavo v Twitterju v blogu lahko ključi "ločijo zakonita spletna mesta od zlonamernih in blokirajo poskuse lažnega predstavljanja, ki jih SMS ali potrditvene kode ne bi."
Teoretično ključi ponujajo najmočnejšo varnostno rešitev za uporabnike, vendar so tudi ena izmed najmanj priročnih rešitev za vsakodnevne uporabnike.
"Glavna pomanjkljivost je, da morate zdaj poleg telefona nositi ključ," je pojasnil Steinberg. "Če torej želite tvitati s plaže, nosite telefon in varnostni ključ."
Steinberg je tudi opozoril, da fizični varnostni ključi predstavljajo tveganje izgube, kar bi lahko povzročilo, da bi uporabnik zaklenil svoj račun.
Uravnoteženje kompromisov
Manj varne metode preverjanja pristnosti, kot je pošiljanje prijavne kode na vaš mobilni telefon, so pogosto bolj priročne za uporabnike kot fizični varnostni ključi, vendar lahko predstavljajo večje tveganje.
Steinberg je dejal, da lahko hekerji prestrežejo kode SMS z metodami, kot so Zamenjave SIM, kjer tatovi ukradejo telefonsko številko uporabnika in prejmejo kode na lastno napravo.
"Če se zanašate na besedilna sporočila in vam nekdo nekako ukrade telefonsko številko in začne prejemati vaša besedilna sporočila, imate težavo, ker bodo dobili vaše kode in bodo lahko ponastavili vaša gesla,« Steinberg je rekel.
Aplikacije Authenticator, ki ustvarijo kodo za enkratno prijavo, so še ena priljubljena metoda 2FA, vendar še vedno predstavljajo tveganje, da do njih dostopajo hekerji.
"Če se uporabnik prijavi na spletno mesto z lažnim predstavljanjem in vnese to kodo, ima phisher to kodo in jo lahko prenese na pravo spletno mesto takoj,« je pojasnil Steinberg in dodal, da obstaja tudi nevarnost izgube telefona in s tem izgube dostopa do aplikacije.
Tudi bolj zapletene metode, kot je biometrična avtentikacija prstnih odtisov, lahko predstavljajo tveganja.
"Vaši prstni odtisi so povsod po telefonu, ker se ga dotikate," je dejal Steinberg in pojasnil, da so sofisticirani tatovi lahko dvigne vaše natise in jih uporabi za prijavo v napravo. "Senzor prstnih odtisov ne more ugotoviti, ali gre za dejanski človek, ki tja položi prst, v primerjavi s tem, da nekdo postavi sliko prstnega odtisa, ki je bil dvignjen s telefona."
Tehtanje koristi
Zaradi neprijetnosti pri nošenju dodatnega fizičnega varnostnega ključa je Steinberg dejal, da ne vidi, da bi večina običajnih uporabnikov, ki bi preklopili, ponudila Twitter.
"Težava je v tem, da nobena od teh [metod preverjanja pristnosti] ni tako absolutna, kot ljudje mislijo, da je."
"Moje izkušnje so bile, da tudi stvari, ki so majhne težave, ko gre za varnost - razen če je bil nekdo vdor in je utrpel resno posledice - malo je verjetno, da bo nekdo zamenjal zdaj, ko obstajajo lažji mehanizmi, za katere velja, da so dovolj dobri," Steinberg je rekel.
Kljub temu je Steinberg dejal, da bi lahko določene skupine uporabnikov, kot so podjetja in ugledni posamezniki, imeli koristi od fizičnih varnostnih ključev.
Čeprav ni popolne rešitve za zavarovanje uporabniškega računa družbenih medijev, je Steinberg poudaril, da je kakršna koli oblika večfaktorskih avtentikacija je boljša kot nobena zaradi dejstva, da se družabni računi pogosto uporabljajo za prijavo v druge povezane račune prek platforme.
"Če danes ne uporabljate dvofaktorske avtentikacije za svoje račune družbenih medijev - jo vklopite," je dejal Steinberg.