Twitter a annoncé samedi que l'authentification à deux facteurs (2FA) basée sur SMS (basée sur le texte) ne serait disponible que pour les abonnés Blue Tick. Ainsi, les experts ont critiqué le site de microblogging, arguant que si la sécurité est l'objectif principal, pourquoi les utilisateurs vérifiés sont-ils exclus ?
L'A2F par SMS ou SMS nécessite que l'utilisateur saisisse un code reçu par SMS après s'être connecté avec un nom d'utilisateur et un mot de passe. 2FA est une fonction de sécurité pour protéger le compte d'utilisateur contre tout accès non autorisé.
À compter du 20 mars 2023, seuls les abonnés Twitter Blue pourront utiliser les SMS comme méthode d'authentification à deux facteurs. D'autres comptes peuvent utiliser une application d'authentification ou une clé de sécurité pour 2FA. En savoir plus ici:https://t.co/wnT9Vuwh5n
- Support Twitter (@TwitterSupport) 18 février 2023
Cependant, avec un changement récent dans sa politique, seuls les utilisateurs avec un abonnement Blue Tick auront accès à 2FA basé sur SMS, laissant les autres utilisateurs s'appuyer sur d'autres méthodes telles que l'utilisation d'une application d'authentification ou d'une clé de sécurité physique.
Les experts craignaient que la nouvelle politique de Twitter ne perturbe les utilisateurs en leur laissant si peu de temps pour terminer la transition et en faisant apparaître les SMS à deux facteurs comme une fonctionnalité premium.
« Le blog Twitter a raison de souligner que l'authentification à deux facteurs qui utilise des messages texte est fréquemment utilisée abusivement par de mauvais acteurs. Je suis d'accord qu'il est moins sécurisé que les autres méthodes 2FA », a affirmé Valérie Plante. Lorrie Cranor, directrice du laboratoire de confidentialité et de sécurité utilisable de Carnegie Mellon.
Twitter arrête la 2FA basée sur les numéros de téléphone parce que la société a découvert qu'elle était utilisée - et abusée - par de mauvais acteurs. Twitter, l'une des plateformes de médias sociaux les plus populaires, a fait comprendre qu'il n'y aura pas de nouvelles inscriptions pour la méthode "message texte/SMS" de 2FA à moins que les utilisateurs ne soient abonnés à Twitter Blue.
« Mais si leur motivation est la sécurité, ne voudraient-ils pas également sécuriser les comptes payants ? Cela n'a aucun sens d'autoriser la méthode la moins sécurisée pour les comptes payants uniquement », a déclaré Cranor.
Twitter, il y a trois jours : désactivez l'authentification à deux facteurs ou vous perdrez votre compte.
Twitter aujourd'hui : pic.twitter.com/ReasCuoDZA— Digame Concejal (@RSGAT) 20 février 2023
En raison de l'insécurité de l'authentification à deux facteurs basée sur SMS, des leaders de l'industrie comme Apple et Google ont interrompu l'option pour ce type d'authentification et ont fait passer les utilisateurs à d'autres formes d'authentification. L'année dernière, le compte Twitter de l'activiste de Black Lives Matter DeRay McKesson était piraté malgré l'activation de l'authentification à deux facteurs. McKesson a partagé plus tard que le pirate avait convaincu la société de télécommunications de rediriger le mot de passe à usage unique (OTP) vers une autre carte SIM en se faisant passer pour lui lors d'un appel téléphonique.
Cet incident illustre la faiblesse du 2FA basé sur SMS et renforce la nécessité pour les utilisateurs d'adopter des formes d'authentification plus sécurisées pour protéger leurs comptes contre les cyberattaques.
Une autre politique controversée à l'ère Musk
Ce changement de politique est un ajout de plus à la liste des décisions controversées prises par Twitter depuis la prise de contrôle par le milliardaire technologique Elon Musk l'année dernière.
Twitter Blue, qui est le seul moyen d'obtenir le badge de vérification ou "coche bleue", a été introduit par Twitter en novembre 2022, un mois après que Musk a acheté la société pour 44 milliards de dollars en octobre. Ce service par abonnement coûte 11 $ par mois pour les utilisateurs d'Android et iOS, et 8 $ par mois pour les utilisateurs de bureau uniquement.
Cette introduction d'un "Blue Tick" basé sur un abonnement a soulevé des critiques et des spéculations sur l'authenticité du badge de vérification.
"Laissez mon Twitter Blue expirer. Cela ne valait pas la peine. Au moins, fais en sorte qu'il n'y ait aucune publicité, Elon. De plus, j'ai essayé de changer mon nom deux fois et je n'ai jamais récupéré ma vérification bleue. Beaucoup de travail à faire là-bas pour obtenir mes 8 $ », tweeté Heidi Briones, une utilisatrice.
"Politique déroutante"
Les experts s'inquiètent de la confusion qui sera causée par cette nouvelle politique de Twitter, et le temps accordé pour achever la transition du 2FA textuel vers une autre méthode n'est pas très généreux.
« À première vue, cela semble être un bon degré de préoccupation pour la sécurité des utilisateurs, mais si vous payez pour Twitter Blue et que vous êtes donc un client qui prend au sérieux votre utilisation de Twitter et dont Twitter devrait se soucier le plus, vous peut continuer à utiliser cette méthode d'authentification moins sécurisée. Hein?" a déclaré Jim Fenton, consultant indépendant en confidentialité et sécurité des identités.
La société n'a pas clarifié ce qui se passera si les utilisateurs ne désactivent pas la 2FA par SMS avant la date limite du 20 mars. Les experts n'ont pas été en mesure de trouver un lien logique entre la raison et le traitement de la nouvelle politique par Twitter.
"Et si vous n'êtes pas abonné à Twitter Blue et qu'ils vous rétrogradent à une simple authentification basée sur un mot de passe, ils ont maintenant complètement pris quelque chose qui est censé améliorer la sécurité des utilisateurs et ont fait exactement le contraire", a déclaré Fenton.
Fenton a déclaré que le message de Twitter impliquerait qu'ils remplacent la méthode d'authentification existante par une nouvelle qui ne nécessite pas de clé de sécurité matérielle. Néanmoins, l'exemption pour Twitter Blue resterait un non-sens.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://metanews.com/government-backed-nft-scrapped-by-uk-treasury/
- :est
- 10
- 2022
- 2023
- 2FA
- 7
- 8
- a
- Capable
- A Propos
- accès
- Compte
- hybrides
- Activiste
- acteurs
- ajout
- adopter
- annonces
- Après
- ainsi que
- android
- annoncé
- Une autre
- appli
- apparaître
- Apple
- SONT
- AS
- At
- Authentification
- authenticité
- disponibles
- RETOUR
- Mal
- basé
- BE
- car
- va
- jusqu'à XNUMX fois
- Milliards
- milliardaire
- Noir
- Black Lives Matter
- Blog
- Bleu
- by
- Appelez-nous
- CAN
- carte
- les soins
- causé
- Change
- en changeant
- code
- Société
- complet
- PROBLÈMES DE PEAU
- concerné
- confusion
- connexion
- consultant
- continuer
- controversé
- Costs
- critique
- des clients
- cyber-attaques
- jours
- décisions
- Degré
- Malgré
- différent
- Directeur
- Ne fait pas
- Dévaloriser
- Elon
- Elon Musk
- Entrer
- exactement
- exclu
- existant
- de santé
- Fonctionnalité
- Trouvez
- Pour
- document
- trouvé
- fréquemment
- De
- d’étiquettes électroniques entièrement
- généreux
- obtenez
- donné
- Don
- objectif
- Bien
- pirate
- arrêter
- arriver
- Matériel
- Sécurité matérielle
- Vous avez
- ayant
- ici
- HTTPS
- i
- Identite
- améliorer
- in
- incident
- indépendant
- industrie
- introduit
- Introduction
- iOS
- IT
- SES
- Jimmy
- XNUMX éléments à
- ACTIVITES
- laboratoire
- Nom
- L'année dernière
- dirigeants
- APPRENTISSAGE
- départ
- comme
- peu
- Vit
- logique
- perdre
- LES PLANTES
- Entrée
- a prendre une
- Fabrication
- Mars
- Matière
- Médias
- message
- messages
- méthode
- méthodes
- Mois
- PLUS
- (en fait, presque toutes)
- Le Plus Populaire
- motivation
- Musc
- prénom
- Besoin
- Néanmoins
- Nouveauté
- Nouvelle politique
- NFT
- Novembre
- obtenir
- octobre
- of
- on
- ONE
- opposé
- Option
- Autre
- payé
- Mot de Passe
- Payer
- Téléphone
- Appel téléphonique
- Physique
- Sûreté Matérielle
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Point
- politique
- Populaire
- Premium
- la confidentialité
- Confidentialité et sécurité
- protéger
- acheté
- collectés
- raison
- reçu
- récent
- réorienter
- rester
- exigent
- a besoin
- Sécurité
- Saïd
- sécurisé
- sécurité
- sens
- grave
- service
- commun
- devrait
- OUI
- carte SIM
- depuis
- site
- SMS
- So
- Réseaux sociaux
- réseaux sociaux
- plateformes de médias sociaux
- quelque chose
- spéculation
- A déclaré
- les abonnés
- abonnement
- tel
- Support
- Surface
- prise de contrôle
- technologie
- télécommunications
- qui
- La
- leur
- Les
- donc
- trois
- fiable
- à
- aujourd'hui
- trop
- transition
- Trésorerie
- traitement
- oui
- TOUR
- Twice
- Uk
- TRÉSOR ROYAUME-UNI
- utilisable
- Utilisation
- utilisé
- Utilisateur
- utilisateurs
- Vérification
- vérifié
- via
- Façon..
- faiblesse
- Quoi
- qui
- WHO
- sera
- comprenant
- activités principales
- inquiet
- vaut
- pourra
- an
- Votre
- zéphyrnet
- zéro