Како би нова 2ФА опција Твиттер-а могла учинити ваш налог сигурнијим

December 02, 2021
УВести Интернет и безбедност

Кључне Такеаваис

Сајбер криминал је у порасту скоро пола деценије, а пхисхинг напади су били посебно проблематични у протеклој години.
Од 2016. године, Твитер је доживео неколико високопрофилних сајбер напада и сада корисницима нуди опцију физичких безбедносних кључева.
Компанија тврди да је овај метод један од најјачих начина да се обезбеди налог.

Крупни план паметног телефона са Твиттер плавим екраном и логотипом приказаним на њему. — Јосхуа Хоехне / Унспласх

После скоро пола деценије од растући сајбер криминал и година покварена кршења високог профила, Твитер нуди нову безбедносну функцију која би могла да помогне у смањењу ризика од циљаних напада на корисничке налоге.

Према пост на блогу објављен 30. јуна, гигант друштвених медија сада нуди корисницима могућност да физичке сигурносне кључеве направе јединим двофакторским методом аутентикација (2ФА) — потез који би могао помоћи да се рачуни учине сигурнијим док елиминише претходни захтев за слабијим резервним копијама методе.

Ипак, стручњаци упозоравају да сваки метод 2ФА долази са компромисима.

„Проблем је у томе што ниједна од ових [метода аутентикације] није тако апсолутна као што људи мисле да јесте“,

Јосепх Стеинберг, 25-годишњи стручњак за сајбер безбедност и аутор неколико књига, укључујући Сајбер безбедност за лутке, рекао је за Лифевире телефоном.

Физички безбедносни кључеви, објашњено

Према Стеинбергу, постоји неколико типова вишефакторске аутентификације—свака са својим предностима и недостацима.

Физички безбедносни кључеви, попут оних које нуди Твитер, су мали уређаји које корисници морају да користе физички се прикључити или синхронизовати са њиховим личним уређајима да би се пријавили на своје налоге – слично кључеви од аутомобила. Ово нуди предност спречавања хакера да даљински приступе налозима путем пхисхинг напада или малвера.

„...Мало је вероватно да ће се неко сада променити када постоје лакши механизми за које се сматра да су довољно добри.“

Према Твиттер-овом блогу, кључеви „могу да разликују легитимне сајтове од злонамерних и блокирају покушаје крађе идентитета које СМС или верификациони кодови не би.

Теоретски, кључеви нуде најјаче безбедносно решење за кориснике—али су такође једно од најнезгоднијих решења за обичне кориснике.

„Главни недостатак је што сада морате да носите кључ поред телефона“, објаснио је Стеинберг. „Дакле, ако желите да твитујете са плаже, носите телефон и безбедносни кључ.

Стајнберг је такође упозорио да физички безбедносни кључеви носе ризик од губитка, што би могло довести до тога да корисник изгуби сопствени налог.

Балансирање компромиса

Мање безбедне методе аутентификације, као што је слање кода за пријаву на ваш мобилни телефон, често су погодније за кориснике од физичких безбедносних кључева — али могу да носе већи ризик.

Стеинберг је рекао да хакери могу пресрести СМС кодове помоћу метода као што су СИМ замене, где лопови краду телефонски број корисника и примају кодове на сопствени уређај.

„Ако се ослањате на текстуалне поруке и неко вам некако украде број телефона и почне да добија ваше текстуалне поруке, имате проблем јер ће они добити ваше кодове и моћи ће да ресетују ваше лозинке", Стеинберг рекао.

Крупни план иПхоне-а са екраном обавештења који приказује обавештење на Твитеру. — Јамие Стреет / Унспласх

Апликације за аутентификацију које генеришу једнократни код за пријаву су још један популаран метод 2ФА, али и даље носе ризик да им хакери приступе.

„Ако се корисник пријављује на пхисхинг сајт и унесе тај код, пхисхер тада има тај код и може га пренети на прави сајту одмах“, објаснио је Стеинберг, додајући да постоји и ризик од губитка телефона и због тога губитка приступа апликацији.

Чак и сложеније методе, попут биометријске аутентификације отиском прста, могу носити ризике.

„Ваши отисци прстију су свуда по телефону од додиривања“, рекао је Стајнберг, објашњавајући да софистицирани лопови може подићи ваше отиске и користити их за пријаву на уређај. „Сензор отиска прста нема начин да утврди да ли је то стварни човек који ставља прст тамо, у односу на неко ко ставља слику отиска прста који је подигнут са телефона.

Вагање предности

Због непријатности ношења додатног физичког сигурносног кључа, Стеинберг је рекао да не види да већина свакодневних корисника који врши пребацивање нуди Твиттер.

„Проблем је у томе што ниједна од ових [метода аутентификације] није тако апсолутна као што људи мисле да јесте.

„Моје искуство је да чак и ствари које представљају малу гњаважу када је у питању безбедност – осим ако је неко проваљен и озбиљно претрпео последице — мало је вероватно да ће се неко сада променити када постоје лакши механизми за које се сматра да су довољно добри“, Стајнберг рекао.

Ипак, Стеинберг је рекао да одређене групе корисника, као што су предузећа и појединци високог профила, могу имати користи од физичких сигурносних кључева.

Иако не постоји савршено решење за обезбеђивање корисничког налога на друштвеним мрежама, Стеинберг је нагласио да било који облик вишефакторских аутентификација је боља него никаква, због чињенице да се друштвени налози често користе за пријављивање на друге повезане налоге преко платформе.

„Ако данас не користите двофакторску аутентификацију за своје налоге на друштвеним мрежама – укључите је“, рекао је Стеинберг.