Twitter are a anunțat o schimbare interesantă a sistemului său 2FA (autentificare cu doi factori).
Schimbarea va intra în vigoare în timp de aproximativ o lună, și poate fi rezumat foarte simplu în următorul scurt fragment de doggerel:
Utilizarea textelor este nesigură pentru a face 2FA, așa că, dacă vrei să o ții așa, va trebui să plătești.
Am spus „aproximativ o lună” mai sus, deoarece anunțul Twitter este oarecum ambiguu cu calculele sale de date și zile.
Buletinul de anunț de produs, datat 2023-02-15, spune că utilizatorii cu mesaje text (SMS) bazate pe 2FA „aveți 30 de zile pentru a dezactiva această metodă și a vă înscrie în alta”.
Dacă includeți ziua anunțului în acea perioadă de 30 de zile, aceasta înseamnă că 2FA bazat pe SMS va fi întrerupt joi 2023-03-16.
Dacă presupuneți că fereastra de 30 de zile începe la începutul următoarei zile întregi, vă așteptați ca SMS 2FA să se oprească vineri 2023-03-17.
Cu toate acestea, buletinul spune că „După 20 martie 2023, nu vom mai permite abonaților care nu fac parte din Twitter Blue să folosească mesaje text ca metodă 2FA. În acel moment, conturile cu mesajul text 2FA încă activat îl vor avea dezactivat.”
Dacă acest lucru este strict corect, atunci 2FA bazat pe SMS se încheie la începutul zilei de marți, 21 martie 2022 (într-un fus orar nedezvăluit), deși sfatul nostru este să luați cea mai scurtă interpretare posibilă, astfel încât să nu fiți prins.
SMS considerat nesigur
Mai simplu spus, Twitter a decis, așa cum a făcut Reddit în urmă cu câțiva ani, că codurile de securitate unice trimise prin SMS nu mai sunt sigure, deoarece „Din păcate, am văzut că 2FA bazată pe numere de telefon este folosită – și abuzată – de actori răi.”
Principala obiecție la codurile 2FA bazate pe SMS este că infractorii cibernetici hotărâți au învățat cum să păcălească, să convingă sau pur și simplu să mituiască angajații din companiile de telefonie mobilă pentru a le oferi carduri SIM de înlocuire programate cu numărul de telefon al altcuiva.
Înlocuirea legitimă a unui card SIM pierdut, rupt sau furat este, evident, o caracteristică de dorit a rețelei de telefonie mobilă, altfel va trebui să obțineți un număr de telefon nou de fiecare dată când schimbați SIM.
Dar aparenta ușurință cu care unii escroci au învățat abilitățile de inginerie socială pentru a „prelua” numerele altor persoane, de obicei cu scopul foarte specific de a obține codurile lor de conectare 2FA, a dus la o publicitate proastă pentru mesajele text ca sursă de 2FA. secrete.
Acest tip de criminalitate este cunoscut în jargon ca Schimbarea cartelei SIM, dar nu este strict orice fel de schimb, având în vedere că un număr de telefon poate fi programat doar pe o cartelă SIM odată.
Așadar, atunci când compania de telefonie mobilă „schimbă” un SIM, acesta este de fapt o înlocuire totală, deoarece vechiul SIM se stinge și nu mai funcționează.
Desigur, dacă vă înlocuiți propriul SIM pentru că telefonul v-a fost furat, aceasta este o caracteristică de securitate excelentă, deoarece vă restabilește numărul și vă asigură că hoțul nu poate efectua apeluri cu banii dvs. sau nu vă poate asculta. mesaje și apeluri.
Dar dacă se întoarcă jocul, iar escrocii vă preiau cartela SIM în mod ilegal, această „funcție” se transformă într-o dublă răspundere, deoarece infractorii încep să vă primească mesajele, inclusiv codurile de conectare, și nu vă puteți folosi propriul telefon. pentru a raporta problema!
Este vorba într-adevăr de securitate?
Această schimbare este într-adevăr legată de securitate sau pur și simplu Twitter își propune să-și simplifice operațiunile IT și să economisească bani prin reducerea numărului de mesaje text pe care trebuie să le trimită?
Bănuim că, dacă compania ar fi serios să retragă autentificarea de conectare pe bază de SMS, i-ar determina pe toți utilizatorii săi să treacă la ceea ce ea consideră forme mai sigure de 2FA.
În mod ironic, totuși, utilizatorii care plătesc pentru serviciul Twitter Blue, un grup care pare să includă utilizatori de profil înalt sau populari ale căror conturi bănuim că sunt ținte mult mai atractive pentru infractorii cibernetici...
…va avea voie să folosească în continuare procesul 2FA care nu este considerat suficient de sigur pentru toți ceilalți.
Atacurile prin schimbul de SIM sunt dificil de realizat de către criminali în vrac, deoarece un schimb de SIM implică adesea trimiterea unui „catâr” (un membru sau „afiliat” cybergang care este suficient de dispus sau disperat încât să riște să se prezinte personal pentru a comite o infracțiune cibernetică) într-un magazin de telefoane mobile, poate cu un act de identitate fals, pentru a încerca să obțină un anumit număr.
Cu alte cuvinte, atacurile prin schimbarea SIM-ului par adesea a fi premeditate, planificate și țintite, pe baza unui cont pentru care infractorii cunosc deja numele de utilizator și parola și în care cred că valoarea contului pe care îl vor prelua. merită timpul, efortul și riscul de a fi prins în flagrant.
Deci, dacă decideți să alegeți Twitter Blue, vă sugerăm să nu continuați să utilizați 2FA bazat pe SMS, chiar dacă vi se va permite, deoarece doar vă veți alătura unui grup mai mic de ținte mai gustoase pentru cybergang-uri care schimbă SIM pentru a ataca.
Un alt aspect important al anunțului Twitter este că, deși compania nu mai este dispusă să vă trimită gratuit coduri 2FA prin SMS și invocă probleme de securitate drept motiv, nu vă va șterge numărul de telefon odată ce nu vă va mai trimite mesaje.
Chiar dacă Twitter nu va mai avea nevoie de numărul dvs. și chiar dacă este posibil să l-ați furnizat inițial, înțelegând că ar fi utilizat în mod special în scopul îmbunătățirii securității autentificarii, va trebui să vă amintiți să intrați și să îl ștergeți singur.
Ce să fac?
- Dacă sunteți deja sau intenționați să deveniți membru Twitter Blue, luați în considerare oricum să renunțați la 2FA bazat pe SMS. După cum am menționat mai sus, atacurile prin schimbarea SIM tind să fie vizate, deoarece sunt dificil de făcut în vrac. Deci, dacă codurile de conectare bazate pe SMS nu sunt suficient de sigure pentru restul Twitter, ele vor fi și mai puțin sigure pentru tine odată ce faci parte dintr-un grup mai mic și mai select de utilizatori.
- Dacă sunteți un utilizator care nu este Blue Twitter cu SMS 2FA activat, luați în considerare trecerea la 2FA bazat pe aplicație. Vă rugăm să nu lăsați pur și simplu să expire 2FA și să reveniți la autentificarea cu parolă veche dacă sunteți una dintre minoritățile conștiente de securitate care a decis deja să accepte inconvenientul modest al 2FA în viața dvs. digitală. Rămâneți în față în calitate de pionist de tendințe în domeniul securității cibernetice!
- Dacă ați dat Twitter numărul dvs. de telefon special pentru mesajele 2FA, nu uita să mergi și să-l scoți. Twitter nu va șterge automat niciun număr de telefon stocat.
- Dacă utilizați deja autentificarea bazată pe aplicație, rețineți că codurile dvs. 2FA nu sunt mai sigure decât mesajele SMS împotriva phishingului. Codurile 2FA bazate pe aplicații sunt, în general, protejate de codul de blocare al telefonului dvs. (deoarece secvența codului se bazează pe un număr „sedinta” stocat în siguranță pe telefonul dvs.) și nu pot fi calculate pe telefonul altcuiva, chiar dacă acesta vă pune SIM-ul în dispozitivul lor. Dar dacă dezvăluiți din greșeală cel mai recent cod de conectare introducându-l într-un site fals împreună cu parola, oricum le-ați dat escrocii tot ce au nevoie, indiferent dacă acel cod a venit dintr-o aplicație sau printr-un mesaj text.
- Dacă telefonul dvs. pierde serviciul mobil în mod neașteptat, investigați prompt în cazul în care ați fost schimbat prin SIM. Chiar dacă nu îți folosești telefonul pentru coduri 2FA, un escroc care deține controlul asupra numărului tău poate, totuși, să trimită și să primească mesaje în numele tău și poate efectua și răspunde la apeluri pretinzând că ești tu. Fiți pregătit să vă prezentați personal la un magazin de telefoane mobile și luați-vă ID-ul și chitanțele de cont cu dvs., dacă puteți.
- Dacă nu ați setat un cod PIN pe SIM-ul telefonului dvs., luați în considerare să faceți acest lucru acum. Un hoț care vă fură telefonul probabil că nu va putea să-l deblocheze, presupunând că ați setat un cod de blocare decent. Nu le facilita pur și simplu să scoată SIM-ul și să îl introducă într-un alt dispozitiv pentru a prelua apelurile și mesajele. Va trebui să introduceți codul PIN doar când reporniți telefonul sau îl porniți după ce îl opriți, astfel încât efortul implicat este minim.
Apropo, dacă vă simțiți confortabil cu 2FA bazat pe SMS și vă faceți griji că 2FA bazat pe aplicații este suficient de „diferit” încât va fi greu de stăpânit, amintiți-vă că codurile 2FA bazate pe aplicații necesită în general și un telefon, așa că fluxul dvs. de lucru de conectare nu se schimbă deloc prea mult.
În loc să vă deblocați telefonul, așteptați să sosească un cod într-un mesaj text și apoi să introduceți acel cod în browser...
… vă deblocați telefonul, deschideți aplicația de autentificare, citiți codul de acolo și introduceți-l în browser. (Numerele se schimbă de obicei la fiecare 30 de secunde, astfel încât să nu poată fi reutilizate.)
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://nakedsecurity.sophos.com/2023/02/20/twitter-tells-users-pay-up-if-you-want-to-keep-using-insecure-2fa/
- 1
- 2022
- 2023
- 28
- 2FA
- 70
- 84
- a
- Capabil
- Despre Noi
- mai sus
- Absolut
- Accept
- Cont
- Conturi
- act
- actori
- de fapt
- adăugat
- sfat
- După
- împotriva
- Urmarind
- TOATE
- deja
- Cu toate ca
- și
- Anunț
- O alta
- răspunde
- aplicaţia
- aparent
- Apple
- aspect
- ataca
- Atacuri
- atractiv
- Autentificare
- autor
- Auto
- în mod automat
- disponibil
- înapoi
- imagine de fundal
- Rău
- bazat
- deoarece
- deveni
- Început
- Albastru
- frontieră
- De jos
- Spart
- browser-ul
- buletin
- calculată
- denumit
- apeluri
- card
- Carduri
- transporta
- Continuă
- caz
- prins
- Centru
- Schimbare
- cod
- culoare
- confortabil
- Companii
- companie
- component
- preocupările
- Conduce
- Lua în considerare
- luate în considerare
- consideră
- Control
- înscrie-te la cursul
- acoperi
- criminali
- Crooks
- Curent
- tăiere
- criminalităţii cibernetice
- cybercriminals
- Securitate cibernetică
- datat
- zi
- Zi
- mort
- hotărât
- determinat
- dispozitiv
- FĂCUT
- dificil
- digital
- invalid
- Afişa
- Nu
- face
- Dont
- dubla
- jos
- efect
- efort
- Altele
- de angajați
- activat
- se încheie
- Inginerie
- suficient de
- asigură
- Intrați
- Chiar
- Fiecare
- toată lumea
- aștepta
- fals
- Caracteristică
- puțini
- următor
- formulare
- Gratuit
- Vineri
- din
- faţă
- Complet
- în general
- obține
- obtinerea
- Da
- dat
- Go
- Merge
- merge
- mare
- grup
- Greu
- înălțime
- Profil înalt
- deţine
- planare
- Cum
- Cum Pentru a
- Totuși
- HTTPS
- mod ilegal
- important
- aspect important
- îmbunătățirea
- in
- include
- include
- Inclusiv
- in schimb
- interpretare
- investiga
- implicat
- IT
- jargon
- aderarea
- A pastra
- Cunoaște
- cunoscut
- Ultimele
- învățat
- Led
- răspundere
- Viaţă
- Lung
- mai lung
- Pierde
- face
- multe
- Martie
- Margine
- maestru
- max-width
- membru
- menționat
- mesaj
- mesaje
- metodă
- minim
- minoritate
- Mobil
- telefon mobil
- bani
- mai mult
- nume
- Nevoie
- nevoilor
- reţea
- Nou
- următor
- normală.
- număr
- numere
- Vechi
- ONE
- on-line
- deschide
- Operațiuni
- iniţial
- Altele
- in caz contrar
- propriu
- parte
- Parolă
- Paul
- Plătește
- oamenii lui
- poate
- perioadă
- persoană
- Phishing
- telefon
- bucată
- Simplu
- plan
- planificat
- Plato
- Informații despre date Platon
- PlatoData
- "vă rog"
- piscină
- Popular
- poziţie
- posibil
- postări
- putere
- pregătit
- primar
- probabil
- proces
- Produs
- programat
- protejat
- prevăzut
- publicitate
- scop
- pune
- RE
- Citeste
- motiv
- încasări
- a primi
- primire
- minte
- scoate
- raportează
- necesita
- REST
- dezvălui
- Risc
- sigur
- Said
- Economisiți
- spune
- secunde
- sigur
- în siguranță,
- securitate
- pare
- trimitere
- Secvenţă
- serios
- serviciu
- Servicii
- set
- Magazin
- Pantaloni scurți
- Arăta
- Emisiuni
- DA
- SIM Card
- DA schimb
- simplifica
- pur şi simplu
- aptitudini
- mai mici
- SMS-uri
- So
- Social
- Inginerie sociala
- solid
- unele
- Cineva
- oarecum
- Sursă
- specific
- specific
- Începe
- începe
- şedere
- fură
- Încă
- furate
- Stop
- opriri
- stoca
- stocate
- abonați
- a sustine
- SVG
- Intrerupator
- sistem
- Lua
- luare
- vizate
- obiective
- spune
- texting
- lor
- timp
- Zona de fus orar
- la
- de asemenea
- top
- TOTP
- tranziţie
- transparent
- marţi
- transformat
- Cotitură
- stare de nervozitate
- tipic
- înţelegere
- deschide
- deblocare
- URL-ul
- utilizare
- Utilizator
- utilizatorii
- obișnuit
- valoare
- de
- Aşteptare
- website
- Ce
- dacă
- care
- în timp ce
- OMS
- voi
- dispus
- cuvinte
- Apartamente
- flux de lucru
- fabrică
- îngrijorat
- valoare
- ar
- X
- ani
- Ta
- te
- zephyrnet