توییتر دارد اعلام کرد یک تغییر جالب در سیستم 2FA (احراز هویت دو مرحله ای) آن.
این تغییر در حدود یک ماهو میتوان آن را خیلی ساده در قطعه کوتاه زیر خلاصه کرد:
استفاده از متنها برای انجام 2FA ناامن است، بنابراین اگر میخواهید آن را ادامه دهید، باید هزینه کنید.
ما در بالا گفتیم "حدود یک ماه" زیرا اعلامیه توییتر با محاسبات تاریخ و روز تا حدودی مبهم است.
بولتن اعلام محصول، به تاریخ 2023/02/15، می گوید که کاربران دارای پیام متنی (SMS) 2FA 30 روز فرصت دارید تا این روش را غیرفعال کنید و در روش دیگری ثبت نام کنید.
اگر روز اعلام را در آن دوره 30 روزه قرار دهید، به این معنی است که 2FA مبتنی بر پیامک در روز پنجشنبه 2023/03/16 متوقف خواهد شد.
اگر فرض کنید که پنجره 30 روزه از ابتدای روز کامل بعدی شروع می شود، انتظار دارید SMS 2FA در روز جمعه 2023-03-17 متوقف شود.
با این حال، بولتن می گوید پس از 20 مارس 2023، دیگر به مشترکین آبی توییتر اجازه استفاده از پیام های متنی به عنوان روش 2FA را نخواهیم داد. در آن زمان، حسابهایی که پیامک 2FA هنوز فعال است، آن را غیرفعال میکنند.»
اگر کاملاً درست باشد، 2FA مبتنی بر پیامک در آغاز سهشنبه 21 مارس 2022 (در یک منطقه زمانی نامشخص) به پایان میرسد، هرچند توصیه ما این است که کوتاهترین تفسیر ممکن را انجام دهید تا گرفتار نشوید.
پیامک ناامن تلقی می شود
به زبان ساده، توییتر تصمیم گرفته است، همانطور که ردیت چند سال پیش تصمیم گرفت، کدهای امنیتی یکبار مصرف ارسال شده از طریق پیامک دیگر ایمن نیستند، زیرا متأسفانه ما شاهد استفاده از 2FA مبتنی بر شماره تلفن - و سوء استفاده - توسط بازیگران بد بوده ایم.
اعتراض اصلی به کدهای 2FA مبتنی بر پیامک این است که مجرمان سایبری مصمم یاد گرفتهاند که چگونه به کارکنان شرکتهای تلفن همراه رشوه بدهند تا سیمکارتهای جایگزین برنامهریزی شده با شماره تلفن دیگران را به آنها بدهند.
بدیهی است که تعویض مشروع سیم کارت گم شده، شکسته یا دزدیده شده یکی از ویژگی های مطلوب شبکه تلفن همراه است، در غیر این صورت باید هر بار که سیم کارت را عوض می کنید یک شماره تلفن جدید دریافت کنید.
اما آسانی آشکاری که برخی از کلاهبرداران مهارتهای مهندسی اجتماعی را برای «تسلط بر» شمارههای دیگران، معمولاً با هدف بسیار خاص دریافت کدهای ورود به سیستم 2FA، آموختهاند، منجر به تبلیغات بد برای پیامهای متنی به عنوان منبع 2FA شده است. اسرار
این نوع جنایت در اصطلاح به عنوان شناخته شده است تعویض سیم کارت، اما با توجه به اینکه یک شماره تلفن را می توان هر بار فقط در یک سیم کارت برنامه ریزی کرد، به طور دقیق هیچ نوع مبادله ای نیست.
بنابراین، وقتی شرکت تلفن همراه یک سیمکارت را «تعویض» میکند، در واقع یک جایگزین واقعی است، زیرا سیمکارت قدیمی از بین میرود و دیگر کار نمیکند.
البته، اگر سیم کارت خود را به دلیل دزدیده شدن گوشی خود تعویض میکنید، این یک ویژگی امنیتی عالی است، زیرا شماره شما را به شما بازیابی میکند و تضمین میکند که دزد نمیتواند با پول شما تماس بگیرد یا به صدای شما گوش دهد. پیام ها و تماس ها
اما اگر ورق برگشت و کلاهبرداران به طور غیرقانونی سیم کارت شما را تصاحب کنند، این "ویژگی" به یک مسئولیت مضاعف تبدیل می شود، زیرا مجرمان شروع به دریافت پیام های شما از جمله کدهای ورود به سیستم می کنند و شما نمی توانید از تلفن خود استفاده کنید. برای گزارش مشکل!
آیا این واقعاً در مورد امنیت است؟
آیا این تغییر واقعاً مربوط به امنیت است، یا صرفاً هدف توییتر سادهسازی عملیات فناوری اطلاعات و صرفهجویی در هزینه با کاهش تعداد پیامهای متنی است که باید ارسال کند؟
ما گمان می کنیم که اگر این شرکت واقعاً در مورد بازنشستگی احراز هویت ورود مبتنی بر پیامک جدی بود، همه کاربران خود را وادار می کرد تا به اشکال ایمن تر 2FA روی آورند.
با این حال، از قضا، کاربرانی که برای سرویس Twitter Blue پول می پردازند، گروهی که به نظر می رسد شامل کاربران مشهور یا محبوبی است که ما گمان می کنیم حساب های آنها اهداف بسیار جذاب تری برای مجرمان سایبری هستند…
... مجاز خواهد بود به استفاده از فرآیند 2FA که برای بقیه به اندازه کافی امن تلقی نمی شود، ادامه دهد.
انجام حملات تعویض سیمکارت برای مجرمان بهطور انبوه دشوار است، زیرا تعویض سیمکارت اغلب شامل ارسال یک «قاطر» است (یک عضو سایبرگنگ یا «وابسته» که به اندازه کافی مایل یا ناامید است که خطر حضور شخصی برای انجام یک جنایت سایبری را داشته باشد). به یک فروشگاه تلفن همراه، شاید با شناسه جعلی، سعی کنید یک شماره خاص را بدست آورید.
به عبارت دیگر، به نظر میرسد که حملات تعویض سیمکارت از پیش برنامهریزیشده، برنامهریزیشده و هدفمند، بر اساس حسابی که مجرمان از قبل نام کاربری و رمز عبور آن را میدانند، و جایی که فکر میکنند ارزش حسابی را که میخواهند تصاحب کنند، انجام میشوند. ارزش زمان، تلاش و خطر گرفتار شدن در عمل را دارد.
بنابراین، اگر تصمیم به استفاده از توییتر آبی دارید، پیشنهاد میکنیم استفاده از 2FA مبتنی بر پیامک را ادامه ندهید، حتی اگر به شما اجازه داده شود، زیرا فقط به مجموعه کوچکتری از اهداف خوشمزهتر میپیوندید. جابجایی سیمکارتهای سایبرگ برای حمله.
یکی دیگر از جنبه های مهم اعلامیه توییتر این است که اگرچه این شرکت دیگر تمایلی به ارسال کدهای 2FA از طریق پیامک به صورت رایگان برای شما ندارد و نگرانی های امنیتی را دلیل آن ذکر می کند، اما پس از توقف ارسال پیامک، شماره تلفن شما را حذف نخواهد کرد.
حتی اگر توییتر دیگر به شماره شما نیازی نداشته باشد، و حتی اگر شما ممکن است در ابتدا آن را با این درک که به طور خاص برای بهبود امنیت ورود استفاده می شود، ارائه کرده باشید، باید به خاطر داشته باشید که وارد شوید و خودتان آن را حذف کنید.
چه کاری انجام دهید؟
- اگر قبلاً عضو توییتر آبی هستید یا قصد دارید بشوید، به هر حال از 2FA مبتنی بر پیامک دور شوید. همانطور که در بالا ذکر شد، حملات تعویض سیم کارت هدفمند هستند، زیرا انجام آنها به صورت انبوه دشوار است. بنابراین، اگر کدهای ورود مبتنی بر پیامک به اندازه کافی برای بقیه توییتر ایمن نباشند، زمانی که بخشی از یک گروه کوچکتر و منتخب از کاربران باشید، از امنیت کمتری برای شما برخوردار خواهند بود.
- اگر یک کاربر غیر آبی توییتر هستید و SMS 2FA روشن است، به جای آن به 2FA مبتنی بر برنامه تغییر دهید. لطفاً اجازه ندهید 2FA شما از بین برود و به احراز هویت گذرواژه قدیمی ساده بازگردید، اگر شما یکی از اقلیت هایی هستید که از امنیت آگاه هستند و قبلاً تصمیم گرفته اید که ناراحتی متوسط 2FA را در زندگی دیجیتال خود بپذیرید. به عنوان یک تنظیم کننده روند امنیت سایبری در مقابل باشید!
- اگر شماره تلفن خود را به طور خاص برای پیام های 2FA به توییتر داده اید، فراموش نکنید که بروید و آن را بردارید. توییتر هیچ شماره تلفن ذخیره شده را به طور خودکار حذف نخواهد کرد.
- اگر قبلاً از احراز هویت مبتنی بر برنامه استفاده میکنید، به یاد داشته باشید که کدهای 2FA شما در برابر فیشینگ امن تر از پیامک ها نیستند. کدهای 2FA مبتنی بر برنامه عموماً توسط کد قفل تلفن شما محافظت می شوند (زیرا دنباله کد بر اساس یک عدد "seed" است که به طور ایمن در تلفن شما ذخیره شده است) و نمی توان آن را روی تلفن شخص دیگری محاسبه کرد، حتی اگر سیم کارت شما را قرار دهد. به دستگاه آنها. اما اگر به طور تصادفی آخرین کد ورود خود را با تایپ آن در یک وب سایت جعلی همراه با رمز عبور خود فاش کنید، به هر حال به کلاهبرداران تمام نیازهای آنها را داده اید، خواه این کد از یک برنامه باشد یا از طریق یک پیام متنی.
- اگر تلفن شما به طور غیرمنتظره سرویس تلفن همراه را از دست داد، در صورتی که سیمکارت تعویض شدهاید، فوراً بررسی کنید. حتی اگر از تلفن خود برای کدهای 2FA استفاده نمی کنید، یک کلاهبردار که کنترل شماره شما را در دست دارد، می تواند پیام هایی را به نام شما ارسال و دریافت کند، و می تواند در حالی که وانمود می کند شما هستید، تماس برقرار کرده و پاسخ دهد. آماده باشید که شخصاً در فروشگاه تلفن همراه حاضر شوید و در صورت امکان شناسنامه و رسید حساب خود را همراه داشته باشید.
- اگر پین کدی روی سیم کارت تلفن خود تنظیم نکرده اید، اکنون این کار را در نظر بگیرید دزدی که گوشی شما را می دزدد احتمالا نمی تواند قفل آن را باز کند، با این فرض که شما یک کد قفل مناسب تنظیم کرده اید. آنها را به سادگی خارج کردن سیم کارت و وارد کردن آن در دستگاه دیگری برای کنترل تماس ها و پیام های شما آسان نکنید. تنها زمانی که گوشی خود را راه اندازی مجدد می کنید یا بعد از خاموش کردن آن را روشن می کنید، باید پین را وارد کنید، بنابراین تلاش شما حداقل است.
به هر حال، اگر با 2FA مبتنی بر پیامک راحت هستید و نگران هستید که 2FA مبتنی بر برنامه به اندازه کافی «متفاوت» باشد که تسلط بر آن دشوار باشد، به یاد داشته باشید که کدهای 2FA مبتنی بر برنامه معمولاً به تلفن نیز نیاز دارند. گردش کار ورود شما اصلاً تغییر زیادی نمی کند.
به جای اینکه قفل گوشی خود را باز کنید، منتظر بمانید تا یک کد در یک پیام متنی وارد شود و سپس آن کد را در مرورگر خود تایپ کنید…
…شما قفل گوشی خود را باز می کنید، برنامه احراز هویت خود را باز می کنید، کد را از آنجا می خوانید و در عوض آن را در مرورگر خود تایپ می کنید. (اعداد معمولاً هر 30 ثانیه تغییر میکنند، بنابراین نمیتوان دوباره از آنها استفاده کرد.)
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2023/02/20/twitter-tells-users-pay-up-if-you-want-to-keep-using-insecure-2fa/
- 1
- 2022
- 2023
- 28
- 2F به
- 70
- 84
- a
- قادر
- درباره ما
- بالاتر
- مطلق
- پذیرفتن
- حساب
- حساب ها
- عمل
- بازیگران
- واقعا
- اضافه
- نصیحت
- پس از
- در برابر
- هدف
- معرفی
- قبلا
- هر چند
- و
- خبر
- دیگر
- پاسخ
- نرم افزار
- ظاهر
- اپل
- ظاهر
- حمله
- حمله
- جالب
- تصدیق
- نویسنده
- خودکار
- بطور خودکار
- در دسترس
- به عقب
- تصویر پس زمینه
- بد
- مستقر
- زیرا
- شدن
- شروع
- آبی
- مرز
- پایین
- شکسته
- مرورگر
- پژوهشنامه
- محاسبه
- نام
- تماس ها
- کارت
- کارت ها
- حمل
- ادامه دادن
- مورد
- گرفتار
- مرکز
- تغییر دادن
- رمز
- رنگ
- راحت
- شرکت
- شرکت
- جزء
- نگرانی ها
- رفتار
- در نظر بگیرید
- در نظر گرفته
- در نظر می گیرد
- کنترل
- دوره
- پوشش
- جنایتکاران
- Crooks
- جاری
- برش
- جرایم اینترنتی
- مجرمان سایبری
- امنیت سایبری
- مورخ
- روز
- روز
- مرده
- مصمم
- مشخص
- دستگاه
- DID
- مشکل
- دیجیتال
- غیر فعال
- نمایش دادن
- نمی کند
- عمل
- آیا
- دو برابر
- پایین
- اثر
- تلاش
- دیگر
- کارکنان
- فعال
- به پایان می رسد
- مهندسی
- کافی
- تضمین می کند
- وارد
- حتی
- هر
- هر کس
- انتظار
- جعلی
- ویژگی
- کمی از
- پیروی
- اشکال
- رایگان
- جمعه
- از جانب
- جلو
- کامل
- عموما
- دریافت کنید
- گرفتن
- دادن
- داده
- Go
- می رود
- رفتن
- گوگل
- بزرگ
- گروه
- سخت
- ارتفاع
- مشخصات بالا
- نگه داشتن
- در تردید بودن
- چگونه
- چگونه
- اما
- HTTPS
- غیرقانونی
- مهم
- جنبه مهم
- بهبود
- in
- شامل
- شامل
- از جمله
- در عوض
- تفسیر
- بررسی
- گرفتار
- IT
- اصطلاحات مخصوص یک صنف
- پیوستن
- نگاه داشتن
- دانستن
- شناخته شده
- آخرین
- آموخته
- رهبری
- بدهی
- زندگی
- طولانی
- دیگر
- از دست می دهد
- ساخت
- بسیاری
- مارس
- حاشیه
- استاد
- حداکثر عرض
- عضو
- ذکر شده
- پیام
- پیام
- روش
- حداقل
- اقلیت
- موبایل
- تلفن همراه
- پول
- بیش
- نام
- نیاز
- نیازهای
- شبکه
- جدید
- بعد
- طبیعی
- عدد
- تعداد
- قدیمی
- ONE
- آنلاین
- باز کن
- عملیات
- در اصل
- دیگر
- در غیر این صورت
- خود
- بخش
- کلمه عبور
- پل
- پرداخت
- مردم
- شاید
- دوره
- شخص
- فیشینگ
- تلفن
- قطعه
- ساده
- برنامه
- برنامه ریزی
- افلاطون
- هوش داده افلاطون
- PlatoData
- لطفا
- استخر
- محبوب
- موقعیت
- ممکن
- پست ها
- قدرت
- آماده شده
- اصلی
- شاید
- روند
- محصول
- برنامهریزی شده
- محفوظ
- ارائه
- تبلیغات
- هدف
- قرار دادن
- RE
- خواندن
- دلیل
- رسید
- گرفتن
- دریافت
- ق
- به یاد داشته باشید
- برداشتن
- گزارش
- نیاز
- REST
- فاش کردن
- خطر
- امن
- سعید
- ذخیره
- می گوید:
- ثانیه
- امن
- ایمن
- تیم امنیت لاتاری
- به نظر می رسد
- در حال ارسال
- دنباله
- جدی
- سرویس
- خدمات
- تنظیم
- فروشگاه
- کوتاه
- نشان
- نشان می دهد
- سیم کارت
- سیم کارت
- مبادله سیم کارت
- ساده کردن
- به سادگی
- مهارت ها
- کوچکتر
- SMS
- So
- آگاهی
- مهندسی اجتماعی
- جامد
- برخی از
- کسی
- تاحدی
- منبع
- خاص
- به طور خاص
- شروع
- شروع می شود
- ماندن
- سرقت می کند
- هنوز
- به سرقت رفته
- توقف
- توقف
- opbevare
- ذخیره شده
- مشترکین
- پشتیبانی
- SVG
- گزینه
- سیستم
- گرفتن
- مصرف
- هدف قرار
- اهداف
- می گوید
- پیام کوتاه
- La
- شان
- زمان
- منطقه زمانی
- به
- هم
- بالا
- TOTP
- انتقال
- شفاف
- سه شنبه
- تبدیل
- عطف
- توییتر
- به طور معمول
- درک
- باز
- باز کردن قفل
- URL
- استفاده کنید
- کاربر
- کاربران
- معمولا
- ارزش
- از طريق
- منتظر
- سایت اینترنتی
- چی
- چه
- که
- در حین
- WHO
- اراده
- مایل
- کلمات
- مهاجرت کاری
- گردش کار
- با این نسخهها کار
- نگران
- با ارزش
- خواهد بود
- X
- سال
- شما
- خودت
- زفیرنت