Twitter punya mengumumkan perubahan menarik pada sistem 2FA (otentikasi dua faktor).
Perubahan akan berlaku di waktu sekitar satu bulan, dan dapat diringkas dengan sangat sederhana dalam potongan singkat berikut ini:
Menggunakan teks tidak aman untuk melakukan 2FA, Jadi jika Anda ingin mempertahankannya, Anda harus membayar.
Kami mengatakan "sekitar waktu satu bulan" di atas karena pengumuman Twitter agak ambigu dengan perhitungan tanggal dan harinya.
Buletin pengumuman produk, tertanggal 2023-02-15, mengatakan bahwa pengguna dengan pesan teks (SMS) berbasis 2FA “memiliki waktu 30 hari untuk menonaktifkan metode ini dan mendaftar di metode lain”.
Jika Anda memasukkan hari pengumuman dalam periode 30 hari tersebut, berarti 2FA berbasis SMS akan dihentikan pada Kamis 2023-03-16.
Jika Anda berasumsi bahwa jendela 30 hari dimulai pada awal hari penuh berikutnya, Anda akan mengharapkan SMS 2FA berhenti pada hari Jumat 2023-03-17.
Namun, buletin mengatakan itu “Setelah 20 Maret 2023, kami tidak akan lagi mengizinkan pelanggan non-Twitter Blue untuk menggunakan pesan teks sebagai metode 2FA. Pada saat itu, akun dengan pesan teks 2FA masih diaktifkan akan dinonaktifkan.”
Jika itu benar, maka 2FA berbasis SMS berakhir pada awal Selasa 21 Maret 2022 (dalam zona waktu yang dirahasiakan), meskipun saran kami adalah mengambil interpretasi sesingkat mungkin agar Anda tidak ketahuan.
SMS dianggap tidak aman
Sederhananya, Twitter telah memutuskan, seperti yang dilakukan Reddit beberapa tahun lalu, bahwa kode keamanan satu kali yang dikirim melalui SMS tidak lagi aman, karena “sayangnya kami telah melihat 2FA berbasis nomor telepon digunakan – dan disalahgunakan – oleh aktor jahat.”
Keberatan utama terhadap kode 2FA berbasis SMS adalah bahwa penjahat dunia maya yang gigih telah belajar cara mengelabui, membujuk, atau sekadar menyuap karyawan di perusahaan telepon seluler untuk memberi mereka kartu SIM pengganti yang diprogram dengan nomor telepon orang lain.
Mengganti kartu SIM yang hilang, rusak, atau dicuri secara sah jelas merupakan fitur yang diinginkan dari jaringan ponsel, jika tidak, Anda harus mendapatkan nomor telepon baru setiap kali Anda mengganti SIM.
Tetapi kemudahan yang tampak di mana beberapa penjahat telah mempelajari keterampilan rekayasa sosial untuk "mengambil alih" nomor orang lain, biasanya dengan tujuan yang sangat spesifik untuk mendapatkan kode masuk 2FA mereka, telah menyebabkan publisitas buruk untuk pesan teks sebagai sumber 2FA. rahasia.
Kriminalitas semacam ini dikenal dalam jargon sebagai Bertukar SIM, tetapi ini bukan pertukaran apa pun, mengingat nomor telepon hanya dapat diprogram ke dalam satu kartu SIM pada satu waktu.
Jadi, ketika perusahaan ponsel "menukar" SIM, itu sebenarnya pengganti langsung, karena SIM lama mati dan tidak berfungsi lagi.
Tentu saja, jika Anda mengganti SIM Anda sendiri karena ponsel Anda dicuri, itu adalah fitur keamanan yang hebat, karena mengembalikan nomor Anda kepada Anda, dan memastikan bahwa pencuri tidak dapat melakukan panggilan dengan biaya sepeser pun, atau mendengarkan Anda. pesan dan panggilan.
Tetapi jika meja dibalik, dan penjahat mengambil alih kartu SIM Anda secara ilegal, "fitur" ini berubah menjadi tanggung jawab ganda, karena penjahat mulai menerima pesan Anda, termasuk kode login Anda, dan Anda tidak dapat menggunakan telepon Anda sendiri. untuk melaporkan masalah!
Apakah ini benar-benar tentang keamanan?
Apakah perubahan ini benar-benar tentang keamanan, atau hanya Twitter yang bertujuan menyederhanakan operasi TI dan menghemat uang dengan mengurangi jumlah pesan teks yang perlu dikirim?
Kami menduga bahwa jika perusahaan benar-benar serius untuk menghentikan otentikasi login berbasis SMS, itu akan mendorong semua penggunanya untuk beralih ke bentuk 2FA yang dianggapnya lebih aman.
Ironisnya, bagaimanapun, pengguna yang membayar untuk layanan Twitter Blue, grup yang tampaknya termasuk pengguna profil tinggi atau populer yang akunnya kami duga merupakan target yang jauh lebih menarik bagi penjahat dunia maya…
…akan diizinkan untuk tetap menggunakan proses 2FA yang dianggap tidak cukup aman untuk orang lain.
Serangan pertukaran SIM sulit dilakukan oleh penjahat secara massal, karena pertukaran SIM sering kali melibatkan pengiriman "keledai" (anggota cybergang atau "afiliasi" yang bersedia atau cukup putus asa untuk mengambil risiko muncul secara langsung untuk melakukan kejahatan dunia maya) ke toko ponsel, mungkin dengan ID palsu, untuk mencoba mendapatkan nomor tertentu.
Dengan kata lain, serangan pertukaran SIM seringkali tampak direncanakan, direncanakan, dan ditargetkan, berdasarkan akun yang sudah diketahui nama pengguna dan kata sandinya oleh penjahat, dan di mana menurut mereka nilai akun tersebut akan diambil alih. sepadan dengan waktu, tenaga, dan risiko tertangkap basah.
Jadi, jika Anda memutuskan untuk menggunakan Twitter Blue, kami menyarankan agar Anda tidak terus menggunakan 2FA berbasis SMS, meskipun Anda akan diizinkan, karena Anda hanya akan bergabung dengan kumpulan target yang lebih enak untuk Cybergang bertukar SIM untuk menyerang.
Aspek penting lain dari pengumuman Twitter adalah bahwa meskipun perusahaan tidak lagi bersedia mengirimi Anda kode 2FA melalui SMS secara gratis, dan mengutip masalah keamanan sebagai alasan, itu tidak akan menghapus nomor telepon Anda setelah berhenti mengirimi Anda SMS.
Meskipun Twitter tidak lagi memerlukan nomor Anda, dan meskipun Anda mungkin awalnya memberikannya dengan pengertian bahwa nomor tersebut akan digunakan secara khusus untuk tujuan meningkatkan keamanan login, Anda harus ingat untuk masuk dan menghapusnya sendiri.
Apa yang harus dilakukan?
- Jika Anda sudah menjadi, atau berencana untuk menjadi, anggota Twitter Blue, pertimbangkan untuk beralih dari 2FA berbasis SMS. Seperti disebutkan di atas, serangan pertukaran SIM cenderung ditargetkan, karena sulit dilakukan secara massal. Jadi, jika kode login berbasis SMS tidak cukup aman untuk Twitter lainnya, kode tersebut akan menjadi kurang aman untuk Anda setelah Anda menjadi bagian dari grup pengguna yang lebih kecil dan lebih terpilih.
- Jika Anda adalah pengguna Twitter non-Biru dengan SMS 2FA diaktifkan, pertimbangkan untuk beralih ke 2FA berbasis aplikasi sebagai gantinya. Tolong jangan biarkan 2FA Anda kedaluwarsa dan kembali ke otentikasi kata sandi lama jika Anda adalah salah satu dari minoritas yang sadar akan keamanan yang telah memutuskan untuk menerima ketidaknyamanan sederhana 2FA ke dalam kehidupan digital Anda. Tetap terdepan sebagai penentu tren keamanan siber!
- Jika Anda memberi Twitter nomor telepon Anda khusus untuk pesan 2FA, jangan lupa untuk pergi dan menghapusnya. Twitter tidak akan menghapus nomor telepon yang tersimpan secara otomatis.
- Jika Anda sudah menggunakan autentikasi berbasis aplikasi, ingat bahwa kode 2FA Anda tidak lebih aman dari pesan SMS terhadap phishing. Kode 2FA berbasis aplikasi umumnya dilindungi oleh kode kunci ponsel Anda (karena urutan kode didasarkan pada nomor "benih" yang disimpan dengan aman di ponsel Anda), dan tidak dapat dihitung di ponsel orang lain, bahkan jika mereka memasukkan SIM Anda ke perangkat mereka. Tetapi jika Anda secara tidak sengaja mengungkapkan kode masuk terbaru Anda dengan mengetikkannya ke situs web palsu bersama dengan kata sandi Anda, Anda telah memberikan semua yang dibutuhkan penjahat, apakah kode itu berasal dari aplikasi atau melalui pesan teks.
- Jika ponsel Anda tiba-tiba kehilangan layanan seluler, selidiki segera jika Anda telah bertukar SIM. Bahkan jika Anda tidak menggunakan ponsel Anda untuk kode 2FA, penjahat yang memiliki kendali atas nomor Anda tetap dapat mengirim dan menerima pesan atas nama Anda, dan dapat membuat dan menjawab panggilan sambil berpura-pura menjadi Anda. Bersiaplah untuk datang langsung ke toko ponsel, dan bawa ID serta tanda terima akun Anda jika memungkinkan.
- Jika belum menyetel kode PIN pada SIM ponsel Anda, pertimbangkan untuk melakukannya sekarang. Pencuri yang mencuri ponsel Anda mungkin tidak akan dapat membukanya, dengan asumsi Anda telah menyetel kode kunci yang layak. Jangan permudah mereka hanya dengan mengeluarkan SIM Anda dan memasukkannya ke perangkat lain untuk mengambil alih panggilan dan pesan Anda. Anda hanya perlu memasukkan PIN saat menghidupkan ulang ponsel atau menyalakannya setelah mematikannya, sehingga upaya yang dilakukan minimal.
Omong-omong, jika Anda merasa nyaman dengan 2FA berbasis SMS, dan khawatir bahwa 2FA berbasis aplikasi cukup "berbeda" sehingga akan sulit untuk dikuasai, ingat bahwa kode 2FA berbasis aplikasi biasanya memerlukan ponsel juga, jadi alur kerja login Anda tidak banyak berubah sama sekali.
Alih-alih membuka kunci ponsel Anda, menunggu kode masuk melalui pesan teks, lalu mengetikkan kode itu ke browser Anda…
… Anda membuka kunci ponsel, membuka aplikasi autentikator, membaca kode dari sana, dan mengetiknya di browser Anda. (Angka biasanya berubah setiap 30 detik sehingga tidak dapat digunakan kembali.)
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://nakedsecurity.sophos.com/2023/02/20/twitter-tells-users-pay-up-if-you-want-to-keep-using-insecure-2fa/
- 1
- 2022
- 2023
- 28
- 2FA
- 70
- 84
- a
- Sanggup
- Tentang Kami
- atas
- Mutlak
- Setuju
- Akun
- Akun
- Bertindak
- aktor
- sebenarnya
- menambahkan
- nasihat
- Setelah
- terhadap
- Bertujuan
- Semua
- sudah
- Meskipun
- dan
- Pengumuman
- Lain
- menjawab
- aplikasi
- semu
- Apple
- penampilan
- menyerang
- Serangan
- menarik
- Otentikasi
- penulis
- mobil
- secara otomatis
- tersedia
- kembali
- background-image
- Buruk
- berdasarkan
- karena
- menjadi
- Awal
- Biru
- batas
- Bawah
- Rusak
- Browser
- buletin
- dihitung
- bernama
- Panggilan
- kartu
- Kartu-kartu
- membawa
- Lanjutkan
- kasus
- tertangkap
- pusat
- perubahan
- kode
- warna
- nyaman
- Perusahaan
- perusahaan
- komponen
- Kekhawatiran
- Mengadakan
- Mempertimbangkan
- dianggap
- menganggap
- kontrol
- Tentu saja
- menutupi
- Penjahat
- Crooks
- terbaru
- pemotongan
- cybercrime
- penjahat cyber
- Keamanan cyber
- bertanggal
- hari
- Hari
- mati
- memutuskan
- ditentukan
- alat
- MELAKUKAN
- sulit
- digital
- cacat
- Display
- Tidak
- melakukan
- Dont
- dua kali lipat
- turun
- efek
- usaha
- milik orang lain
- karyawan
- diaktifkan
- berakhir
- Teknik
- cukup
- Memastikan
- Enter
- Bahkan
- Setiap
- semua orang
- mengharapkan
- gadungan
- Fitur
- beberapa
- berikut
- bentuk
- Gratis
- Jumat
- dari
- depan
- penuh
- umumnya
- mendapatkan
- mendapatkan
- Memberikan
- diberikan
- Go
- Pergi
- akan
- besar
- Kelompok
- Sulit
- tinggi
- profil tinggi
- memegang
- melayang-layang
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- Namun
- HTTPS
- secara ilegal
- penting
- aspek penting
- meningkatkan
- in
- memasukkan
- termasuk
- Termasuk
- sebagai gantinya
- interpretasi
- menyelidiki
- terlibat
- IT
- jargon
- bergabung
- Menjaga
- Tahu
- dikenal
- Terbaru
- belajar
- Dipimpin
- kewajiban
- Hidup
- Panjang
- lagi
- Kerugian
- membuat
- banyak
- March
- Margin
- menguasai
- max-width
- anggota
- tersebut
- pesan
- pesan
- metode
- minimal
- minoritas
- mobil
- telepon genggam
- uang
- lebih
- nama
- Perlu
- kebutuhan
- jaringan
- New
- berikutnya
- normal
- jumlah
- nomor
- Tua
- ONE
- secara online
- Buka
- Operasi
- semula
- Lainnya
- jika tidak
- sendiri
- bagian
- Kata Sandi
- paul
- Membayar
- orang
- mungkin
- periode
- orang
- Phishing
- telepon
- bagian
- Polos
- rencana
- berencana
- plato
- Kecerdasan Data Plato
- Data Plato
- silahkan
- kolam
- Populer
- posisi
- mungkin
- Posts
- kekuasaan
- siap
- primer
- mungkin
- proses
- Produk
- diprogram
- terlindung
- disediakan
- publisitas
- tujuan
- menempatkan
- RE
- Baca
- alasan
- penerimaan
- menerima
- menerima
- ingat
- menghapus
- melaporkan
- membutuhkan
- ISTIRAHAT
- mengungkapkan
- Risiko
- aman
- Tersebut
- Save
- mengatakan
- detik
- aman
- aman
- keamanan
- tampaknya
- mengirim
- Urutan
- serius
- layanan
- Layanan
- set
- Belanja
- Pendek
- Menunjukkan
- Pertunjukkan
- YA
- SIM Card
- Swap SIM
- menyederhanakan
- hanya
- keterampilan
- lebih kecil
- SMS
- So
- Sosial
- Rekayasa Sosial
- padat
- beberapa
- Seseorang
- agak
- sumber
- tertentu
- Secara khusus
- awal
- dimulai
- tinggal
- mencuri
- Masih
- dicuri
- berhenti
- Berhenti
- menyimpan
- tersimpan
- pelanggan
- mendukung
- SVG
- Beralih
- sistem
- Mengambil
- pengambilan
- ditargetkan
- target
- mengatakan
- SMS
- Grafik
- mereka
- waktu
- zona
- untuk
- terlalu
- puncak
- TOTP
- transisi
- jelas
- Selasa
- Berbalik
- Putar
- khas
- pemahaman
- membuka kunci
- unlocking
- URL
- menggunakan
- Pengguna
- Pengguna
- biasanya
- nilai
- melalui
- Menunggu
- Situs Web
- Apa
- apakah
- yang
- sementara
- SIAPA
- akan
- rela
- kata
- Kerja
- alur kerja
- bekerja
- cemas
- bernilai
- akan
- X
- tahun
- Anda
- diri
- zephyrnet.dll