Twitterには 発表の 2FA(二要素認証)システムへの興味深い変更。
変更が有効になるのは 約XNUMXヶ月の時間、そして非常に簡単に次の短い文章に要約できます。
テキストの使用は 2FA を行う上で安全ではありません。したがって、それを維持したい場合は、料金を支払う必要があります。
上記で「約 XNUMX か月間」と述べたのは、Twitter の発表が日付と曜日の計算に関してややあいまいであるためです。
2023 年 02 月 15 日付の製品発表速報によると、テキスト メッセージ (SMS) ベースの 2FA を使用するユーザーは、 「この方法を無効にして別の方法に登録するには、30 日が必要です」。
その 30 日間に発表日を含めると、SMS ベースの 2FA は 2023 年 03 月 16 日木曜日に廃止されることになります。
30 日間のウィンドウが次の 2 日の初めに始まると仮定すると、SMS 2023FA は 03 年 17 月 XNUMX 日の金曜日に停止することが予想されます。
しかし、速報によると、 「20 年 2023 月 2 日以降、Twitter Blue を利用していないサブスクライバーがテキスト メッセージを 2FA の方法として使用することを許可しなくなります。 その時点で、テキスト メッセージの XNUMXFA がまだ有効になっているアカウントは無効になります。」
それが厳密に正しい場合、SMS ベースの 2FA は 21 年 2022 月 XNUMX 日火曜日の開始時に (非公開のタイムゾーンで) 終了します。
SMS は安全ではないと見なされます
簡単に言えば、Twitter は、Reddit が数年前に行ったように、SMS 経由で送信されるワンタイム セキュリティ コードはもはや安全ではないと判断しました。 「残念ながら、電話番号ベースの 2FA が悪用され、悪用されているのを見てきました。」
SMS ベースの 2FA コードに対する主な反論は、断固たるサイバー犯罪者が、携帯電話会社の従業員を騙したり、なだめたり、単純に賄賂を受け取ったりして、他人の電話番号がプログラムされた代替 SIM カードを提供する方法を学んでいるということです。
紛失、破損、または盗難に遭った SIM カードを合法的に交換することは、明らかに携帯電話ネットワークの望ましい機能です。そうしないと、SIM を変更するたびに新しい電話番号を取得する必要があります。
しかし、一部の詐欺師はソーシャル エンジニアリングのスキルを簡単に習得して他の人の番号を「乗っ取る」ことができ、通常は 2FA のログイン コードを入手するという非常に具体的な目的を持っているため、2FA のソースとしてのテキスト メッセージの悪評につながっています。秘密。
この種の犯罪行為は、専門用語で次のように知られています。 SIM交換、ただし、電話番号は一度にXNUMXつのSIMカードにしかプログラムできないため、厳密にはスワップではありません.
そのため、携帯電話会社が SIM を「交換」すると、古い SIM は機能しなくなり、機能しなくなるため、実際には完全な交換になります。
もちろん、携帯電話が盗まれたために自分の SIM を交換する場合、これは優れたセキュリティ機能です。これにより、番号が復元され、泥棒が XNUMX セント硬貨で電話をかけたり、盗聴したりすることができなくなります。メッセージと通話。
しかし、形勢が逆転し、詐欺師があなたの SIM カードを違法に乗っ取った場合、犯罪者はログイン コードを含むメッセージを受信し始め、自分の電話を使用できなくなるため、この「機能」は二重の責任になります。問題を報告してください!
これは本当にセキュリティに関するものですか?
この変更は本当にセキュリティに関するものなのでしょうか? それとも、送信する必要があるテキスト メッセージの数を減らすことで、IT 運用を簡素化し、コストを節約することを目的としているだけなのでしょうか?
同社が SMS ベースのログイン認証の廃止を真剣に考えている場合、すべてのユーザーがより安全な形式の 2FA に切り替えることになるのではないかと考えています。
しかし皮肉なことに、Twitter Blue サービスの料金を支払っているユーザーは、サイバー犯罪者にとってはるかに魅力的なターゲットであると思われる、知名度の高いユーザーや人気のあるユーザーを含むと思われるグループです…
…他の人にとって十分に安全であるとは考えられていないまさに 2FA プロセスを使用し続けることが許可されます。
SIM スワップ攻撃は、多くの場合、「ミュール」 (サイバー犯罪を実行するために直接現れる危険を冒すことをいとわないサイバーギャングのメンバーまたは「アフィリエイト」) の送信を伴うため、犯罪者が大量に実行することは困難です。おそらく偽の ID を使用して携帯電話ショップに侵入し、特定の番号を取得しようとします。
言い換えれば、SIM スワッピング攻撃は、犯罪者がユーザー名とパスワードを既に知っているアカウントに基づいて、計画され、計画され、標的にされているように見えます。行為に巻き込まれる時間、労力、およびリスクに見合うだけの価値があります。
そのため、Twitter Blue を選択する場合は、SMS ベースの 2FA の使用は許可されますが、使用しないことをお勧めします。攻撃する SIM スワップ サイバー ギャング。
Twitter の発表のもう 2 つの重要な側面は、同社はもはや無料で SMS 経由で XNUMXFA コードを送信するつもりはなく、セキュリティ上の懸念を理由として挙げていますが、テキスト メッセージの送信が停止した後は電話番号を削除しないということです。
Twitter があなたの番号を必要としなくなったとしても、ログイン セキュリティを向上させる目的で特に使用されることを理解して最初に提供したとしても、自分で入力して削除することを忘れないでください。
何をするか?
- すでに Twitter Blue メンバーである場合、またはこれから加入する予定がある場合は、 いずれにせよ、SMS ベースの 2FA からの切り替えを検討してください。 前述のように、SIM スワッピング攻撃は、大量に実行するのが難しいため、標的にされる傾向があります。 そのため、SMS ベースのログイン コードが Twitter の残りの部分で十分に安全でない場合、より小規模でより厳選されたユーザー グループの一員になると、安全性はさらに低下します。
- SMS 2FA がオンになっている Blue 以外の Twitter ユーザーの場合は、 代わりに、アプリベースの 2FA への切り替えを検討してください。 2FA のささやかな不便さをデジタル ライフに受け入れることをすでに決めているセキュリティ意識の高い少数派の 2 人である場合は、単純に XNUMXFA を失効させて従来のパスワード認証に戻らないでください。 サイバーセキュリティのトレンドセッターとして先頭に立ってください!
- 2FA メッセージ専用の電話番号を Twitter に提供した場合、 行って削除することを忘れないでください。 Twitter は、保存されている電話番号を自動的に削除しません。
- すでにアプリ ベースの認証を使用している場合は、 2FA コードは、フィッシングに対して SMS メッセージよりも安全ではないことに注意してください。 アプリベースの 2FA コードは通常、携帯電話のロック コードによって保護されており (コード シーケンスは携帯電話に安全に保存されている「シード」番号に基づいているため)、他人の携帯電話で計算することはできません。彼らのデバイスに。 しかし、パスワードと一緒に偽の Web サイトに最新のログイン コードを入力して、誤って最新のログイン コードを漏らしてしまった場合は、そのコードがアプリからのものであろうと、テキスト メッセージを介してのものであろうと、とにかく必要なものをすべて詐欺師に提供したことになります。
- お使いの携帯電話が予期せずモバイル サービスを失った場合、 SIM を交換した場合は、すぐに調査してください。 電話を 2FA コードに使用していない場合でも、あなたの番号を制御できる詐欺師は、あなたの名前でメッセージを送受信したり、あなたになりすまして電話をかけたり応答したりできます。 直接携帯電話店に行く準備をし、可能であれば ID とアカウントの領収書を持参してください。
- 携帯電話のSIMにPINコードを設定していない場合は、 今すぐそうすることを検討してください。 適切なロック コードを設定していれば、携帯電話を盗んだ泥棒はおそらくロックを解除できません。 簡単に SIM を取り出して別のデバイスに挿入し、通話やメッセージを引き継ぐことを簡単にしないでください。 電話を再起動するとき、または電源を切ってから電源を入れるときに PIN を入力するだけなので、必要な労力は最小限です。
ところで、SMS ベースの 2FA に慣れていて、アプリ ベースの 2FA が十分に「異なる」ため習得が難しいのではないかと心配している場合は、アプリ ベースの 2FA コードには通常電話も必要であることを覚えておいてください。ログイン ワークフローはまったく変わりません。
電話のロックを解除し、テキスト メッセージでコードが届くのを待ってから、そのコードをブラウザに入力する代わりに…
…携帯電話のロックを解除し、認証アプリを開き、そこからコードを読み取り、代わりにブラウザーに入力します。 (数字は通常 30 秒ごとに変わるため、再利用することはできません。)
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/02/20/twitter-tells-users-pay-up-if-you-want-to-keep-using-insecure-2fa/
- 1
- 2022
- 2023
- 28
- 2FA
- 70
- 84
- a
- できる
- 私たちについて
- 上記の.
- 絶対の
- 同意
- アカウント
- 行為
- 俳優
- 実際に
- 追加されました
- アドバイス
- 後
- に対して
- 目指す
- すべて
- 既に
- しかし
- および
- お知らせ
- 別の
- 回答
- アプリ
- 見かけ上
- Apple
- 側面
- 攻撃
- 攻撃
- 魅力的
- 認証
- 著者
- オート
- 自動的に
- 利用できます
- バック
- 背景画像
- 悪い
- ベース
- なぜなら
- になる
- 開始
- 青
- 国境
- ボトム
- 壊れた
- ブラウザ
- 会報
- 計算された
- 呼ばれます
- コール
- カード
- カード
- キャリー
- キャリー・オン
- 場合
- キャッチ
- センター
- 変化する
- コード
- カラー
- 快適
- 企業
- 会社
- コンポーネント
- 懸念事項
- プロフェッショナルな方法で
- 検討
- 見なさ
- 考慮する
- コントロール
- ここから
- カバー
- 犯罪者
- クルックス
- 電流プローブ
- 切断
- サイバー犯罪
- サイバー犯罪者
- サイバーセキュリティ
- 付け
- 中
- 日
- 死んだ
- 決定しました
- 決定
- デバイス
- DID
- 難しい
- デジタル
- 無効
- ディスプレイ
- そうではありません
- すること
- ドント
- ダウン
- 効果
- 努力
- その他の
- 社員
- 使用可能
- 終了
- エンジニアリング
- 十分な
- 確実に
- 入力します
- さらに
- あらゆる
- 誰も
- 期待する
- 偽
- 特徴
- 少数の
- フォロー中
- フォーム
- 無料版
- 金曜日
- から
- フロント
- フル
- 一般に
- 取得する
- 受け
- 与える
- 与えられた
- Go
- ゴエス
- 行く
- でログイン
- 素晴らしい
- グループ
- ハード
- 高さ
- 人目を引く
- ホバー
- 認定条件
- How To
- しかしながら
- HTTPS
- 違法に
- 重要
- 重要な側面
- 改善
- in
- include
- 含ま
- 含めて
- を取得する必要がある者
- 解釈
- 調べる
- 関係する
- IT
- 専門用語
- 参加
- キープ
- 知っている
- 既知の
- 最新の
- 学んだ
- ツェッペリン
- 賠償責任
- 生活
- 長い
- より長いです
- 失われます
- make
- 多くの
- 3月
- マージン
- マスター
- 最大幅
- メンバー
- 言及した
- メッセージ
- メッセージ
- 方法
- 最小限の
- 少数
- モバイル
- 携帯電話
- お金
- 他には?
- 名
- 必要
- ニーズ
- ネットワーク
- 新作
- 次の
- 通常の
- 数
- 番号
- 古い
- ONE
- オンライン
- 開いた
- 業務執行統括
- 元々
- その他
- さもないと
- 自分の
- 部
- パスワード
- Paul Cairns
- 支払う
- 人々の
- おそらく
- 期間
- 人
- フィッシング詐欺
- 電話
- ピース
- シンプルスタイル
- 計画
- 計画されました
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- お願いします
- プール
- 人気
- 位置
- 可能
- 投稿
- 電力
- 準備
- 主要な
- 多分
- プロセス
- プロダクト
- プログラム
- 保護された
- 提供
- 宣伝
- 目的
- 置きます
- RE
- 読む
- 理由
- 領収書
- 受け取ります
- 受け入れ
- 覚えています
- 削除します
- レポート
- 必要とする
- REST
- 明らかにする
- リスク
- 安全な
- 前記
- Save
- 言う
- 秒
- 安全に
- しっかりと
- セキュリティ
- と思われる
- 送信
- シーケンス
- 深刻な
- サービス
- サービス
- セッションに
- オンラインストア
- ショート
- 表示する
- 作品
- YES
- SIMカード
- SIMスワップ
- 簡素化する
- 単に
- スキル
- より小さい
- SMS
- So
- 社会
- ソーシャルエンジニアリング
- 固体
- 一部
- 誰か
- 幾分
- ソース
- 特定の
- 特に
- start
- 開始
- 滞在
- 盗む
- まだ
- 盗まれました
- Force Stop
- 停止する
- 店舗
- 保存され
- 加入者
- サポート
- SVG
- スイッチ
- 取る
- 取得
- 対象となります
- ターゲット
- 伝える
- 携帯メール
- アプリ環境に合わせて
- 時間
- タイムゾーン
- 〜へ
- あまりに
- top
- TOTP
- 遷移
- トランスペアレント
- 火曜日
- オン
- ターニング
- さえずり
- 一般的に
- 理解する
- アンロック
- ロック解除
- URL
- つかいます
- ユーザー
- users
- 通常
- 値
- 、
- 待っています
- ウェブサイト
- この試験は
- かどうか
- which
- while
- 誰
- 意志
- 喜んで
- 言葉
- 仕事
- ワークフロー
- 作品
- 心配して
- 価値
- でしょう
- X
- 年
- あなたの
- あなた自身
- ゼファーネット