Twitter var açıkladı 2FA (iki faktörlü kimlik doğrulama) sisteminde ilgi çekici bir değişiklik.
Değişiklik yürürlüğe girecek yaklaşık bir aylık zamanve aşağıdaki kısa doggerel parçasında çok basit bir şekilde özetlenebilir:
Metin kullanmak 2FA yapmak için güvensizdir, Bu yüzden devam etmek istiyorsanız ödemek zorunda kalacaksınız.
Yukarıda “yaklaşık bir aylık süre” dedik çünkü Twitter'ın duyurusu tarih ve gün hesaplamalarıyla biraz belirsiz.
2023-02-15 tarihli ürün duyuru bülteni, kısa mesaj (SMS) tabanlı 2FA kullanan kullanıcıların "Bu yöntemi devre dışı bırakmak ve başka bir yönteme kaydolmak için 30 gününüz var".
Duyuru gününü bu 30 günlük süreye dahil ederseniz, bu, SMS tabanlı 2FA'nın 2023-03-16 Perşembe günü kullanımdan kaldırılacağı anlamına gelir.
30 günlük pencerenin bir sonraki tam günün başında başladığını varsayarsanız SMS 2FA'nın 2023-03-17 Cuma günü sona ermesini beklersiniz.
Ancak, bülten diyor ki “20 Mart 2023'ten sonra, Twitter Blue abonesi olmayanların metin mesajlarını 2FA yöntemi olarak kullanmalarına artık izin vermeyeceğiz. O zaman, 2FA metin mesajının hâlâ etkin olduğu hesaplar devre dışı bırakılacak."
Bu kesinlikle doğruysa SMS tabanlı 2FA, 21 Mart 2022 Salı günü (açıklanmayan bir saat diliminde) sona eriyor, ancak tavsiyemiz, yakalanmamak için mümkün olan en kısa yorumu almanızdır.
SMS güvensiz kabul edildi
Basitçe söylemek gerekirse, Twitter, Reddit'in birkaç yıl önce yaptığı gibi, SMS yoluyla gönderilen tek seferlik güvenlik kodlarının artık güvenli olmadığına karar verdi, çünkü "Maalesef telefon numarası tabanlı 2FA'nın kötü aktörler tarafından kullanıldığını - ve suistimal edildiğini - gördük."
SMS tabanlı 2FA kodlarına yönelik birincil itiraz, kararlı siber suçluların cep telefonu şirketlerindeki çalışanları başka birinin telefon numarasıyla programlanmış yedek SIM kartları vermek için nasıl kandıracaklarını, kandıracaklarını veya basitçe rüşvet vereceklerini öğrenmiş olmalarıdır.
Kaybolan, bozulan veya çalınan bir SIM kartı yasal olarak değiştirmek cep telefonu şebekesinin arzu edilen bir özelliğidir, aksi halde her SIM değiştirdiğinizde yeni bir telefon numarası almanız gerekir.
Ancak bazı dolandırıcıların, genellikle 2FA oturum açma kodlarını elde etmek gibi çok özel bir amaçla, diğer kişilerin numaralarını "ele geçirmek" için sosyal mühendislik becerilerini kolayca öğrenmeleri, 2FA kaynağı olarak metin mesajlarının kötü tanıtımına yol açtı. sırlar.
Bu tür bir suç, jargonda şöyle bilinir: SIM-değiştirme, ancak bir telefon numarasının aynı anda yalnızca bir SIM karta programlanabileceği göz önüne alındığında, bu kesinlikle herhangi bir takas değildir.
Bu nedenle, cep telefonu şirketi bir SIM'i "değiştirdiğinde", bu aslında tam bir değiştirmedir, çünkü eski SIM ölür ve artık çalışmaz.
Elbette, telefonunuz çalındığı için kendi SIM'inizi değiştiriyorsanız, bu harika bir güvenlik özelliğidir, çünkü numaranızı size geri verir ve hırsızın sizin paranızla arama yapmasını veya sizi dinlemesini engeller. mesajlar ve çağrılar.
Ancak işler tersine dönerse ve dolandırıcılar SIM kartınızı yasa dışı bir şekilde ele geçirirse, bu "özellik" çifte sorumluluğa dönüşür çünkü suçlular giriş kodlarınız da dahil olmak üzere mesajlarınızı almaya başlar ve kendi telefonunuzu kullanamazsınız. sorunu bildirmek için!
Bu gerçekten güvenlikle ilgili mi?
Bu değişiklik gerçekten güvenlikle mi ilgili, yoksa sadece Twitter'ın BT operasyonlarını basitleştirmeyi ve göndermesi gereken kısa mesaj sayısını azaltarak paradan tasarruf etmeyi mi hedefliyor?
Şirket, SMS tabanlı oturum açma kimlik doğrulamasını kullanımdan kaldırma konusunda gerçekten ciddi olsaydı, tüm kullanıcılarını daha güvenli 2FA olarak gördüğü biçimlere geçmeye zorlayacağından şüpheleniyoruz.
Bununla birlikte, ironik bir şekilde, hesaplarından şüphelendiğimiz yüksek profilli veya popüler kullanıcıları içeren bir grup olan Twitter Blue hizmeti için ödeme yapan kullanıcılar, siber suçlular için çok daha çekici hedeflerdir…
…diğer herkes için yeterince güvenli kabul edilmeyen 2FA sürecini kullanmaya devam etmesine izin verilecek.
SIM takas saldırılarının suçlular için toplu olarak gerçekleştirilmesi zordur, çünkü SIM takası genellikle bir "katır" (bir siber suç işlemek için bizzat ortaya çıkma riskini göze alacak kadar istekli veya çaresiz bir siber çete üyesi veya "bağlı kişi") göndermeyi içerir. belirli bir numarayı ele geçirmeye çalışmak için, belki de sahte kimlikle bir cep telefonu mağazasına girer.
Başka bir deyişle, SIM değiştirme saldırıları, suçluların zaten kullanıcı adını ve parolayı bildiği ve ele geçirecekleri hesabın değerini düşündükleri bir hesaba dayalı olarak genellikle önceden tasarlanmış, planlanmış ve hedeflenmiş gibi görünmektedir. zaman, çaba ve suçüstü yakalanma riskine değer.
Bu nedenle, Twitter Blue'yu tercih etmeye karar verirseniz, izin verilse bile SMS tabanlı 2FA kullanmaya devam etmemenizi öneririz, çünkü sadece daha küçük ve daha lezzetli hedefler havuzuna katılacaksınız. Saldırmak için SIM değiştiren siber çeteler.
Twitter'ın duyurusunun bir diğer önemli yönü ise, şirketin artık size ücretsiz SMS yoluyla 2FA kodları göndermek istememesine ve güvenlik endişelerini gerekçe göstermesine rağmen, size mesaj atmayı bıraktığında telefon numaranızı silmeyecek olmasıdır.
Twitter'ın artık numaranıza ihtiyacı olmayacak ve başlangıçta özellikle giriş güvenliğini artırmak amacıyla kullanılacağı anlayışıyla vermiş olsanız bile, içeri girip kendiniz silmeyi hatırlamanız gerekecek.
Ne yapalım?
- Zaten bir Twitter Blue üyesiyseniz veya olmayı planlıyorsanız, Yine de SMS tabanlı 2FA'dan uzaklaşmayı düşünün. Yukarıda bahsedildiği gibi, SIM değiştirme saldırıları, toplu olarak yapılması zor olduğundan, hedef alma eğilimindedir. Bu nedenle, SMS tabanlı giriş kodları Twitter'ın geri kalanı için yeterince güvenli değilse, daha küçük, daha seçkin bir kullanıcı grubunun parçası olduğunuzda sizin için daha da az güvenli olacaktır.
- SMS 2FA açık olan Blue Twitter kullanıcısı değilseniz, bunun yerine uygulama tabanlı 2FA'ya geçmeyi düşünün. Dijital yaşamınızda 2FA'nın mütevazi rahatsızlığını kabul etmeye karar vermiş güvenlik bilincine sahip azınlıklardan biriyseniz, lütfen 2FA'nızın geçmesine izin vermeyin ve eski parola kimlik doğrulamasına geri dönün. Bir siber güvenlik trend belirleyicisi olarak önde kalın!
- Twitter'a telefon numaranızı özellikle 2FA mesajları için verdiyseniz, gidip çıkarmayı unutmayın. Twitter kayıtlı telefon numaralarını otomatik olarak silmeyecek.
- Halihazırda uygulama tabanlı kimlik doğrulama kullanıyorsanız, 2FA kodlarınızın kimlik avına karşı SMS mesajlarından daha güvenli olmadığını unutmayın. Uygulama tabanlı 2FA kodları genellikle telefonunuzun kilit koduyla korunur (çünkü kod dizisi, telefonunuzda güvenli bir şekilde saklanan bir "çekirdek" numaraya dayanır) ve SIM'inizi koysalar bile başka birinin telefonunda hesaplanamaz. cihazına girin. Ancak en son giriş kodunuzu şifrenizle birlikte sahte bir web sitesine yazarak yanlışlıkla ortaya çıkarırsanız, bu kod ister bir uygulamadan ister kısa mesaj yoluyla gelsin, dolandırıcılara ihtiyaç duydukları her şeyi zaten vermiş olursunuz.
- Telefonunuz beklenmedik bir şekilde mobil hizmeti kaybederse, SIM'iniz değiştirilmişse derhal araştırın. Telefonunuzu 2FA kodları için kullanmıyor olsanız bile, numaranızı kontrol eden bir dolandırıcı yine de sizin adınıza mesaj gönderip alabilir ve sizi taklit ederken aramalar yapabilir ve cevaplayabilir. Bir cep telefonu mağazasına bizzat gitmeye hazır olun ve mümkünse kimliğinizi ve hesap makbuzlarınızı yanınıza alın.
- Telefonunuzun SIM'inde bir PIN kodu belirlemediyseniz, şimdi yapmayı düşün. Telefonunuzu çalan bir hırsız, iyi bir kilit kodu belirlediğinizi varsayarsak, muhtemelen kilidini açamaz. Aramalarınızı ve mesajlarınızı devralmak için SIM'inizi çıkarıp başka bir cihaza takmalarını kolaylaştırmayın. PIN'i yalnızca telefonunuzu yeniden başlattığınızda veya kapattıktan sonra açtığınızda girmeniz gerekecek, böylece harcanan çaba minimum düzeyde olacaktır.
Bu arada, SMS tabanlı 2FA konusunda rahatsanız ve uygulama tabanlı 2FA'nın ustalaşmanın zor olacağı kadar "farklı" olduğundan endişe ediyorsanız, uygulama tabanlı 2FA kodlarının da genellikle bir telefon gerektirdiğini unutmayın. oturum açma iş akışınız pek değişmiyor.
Telefonunuzun kilidini açmak, kısa mesaja bir kod gelmesini beklemek ve ardından bu kodu tarayıcınıza yazmak yerine…
…telefonunuzun kilidini açın, kimlik doğrulayıcı uygulamanızı açın, oradan kodu okuyun ve bunun yerine tarayıcınıza yazın. (Sayılar genellikle her 30 saniyede bir değişir, böylece tekrar kullanılamazlar.)
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
- Kaynak: https://nakedsecurity.sophos.com/2023/02/20/twitter-tells-users-pay-up-if-you-want-to-keep-using-insecure-2fa/
- 1
- 2022
- 2023
- 28
- 2FA
- 70
- 84
- a
- Yapabilmek
- Hakkımızda
- yukarıdaki
- kesin
- Kabul et
- Hesap
- Hesaplar
- Hareket
- aktörler
- aslında
- katma
- tavsiye
- Sonra
- karşı
- hedefleyen
- Türkiye
- zaten
- Rağmen
- ve
- duyuru
- Başka
- cevap
- uygulamayı yükleyeceğiz
- bariz
- Apple
- boy
- saldırı
- saldırılar
- çekici
- Doğrulama
- yazar
- Oto
- otomatik olarak
- mevcut
- Arka
- background-image
- Kötü
- merkezli
- Çünkü
- müşterimiz
- Başlangıç
- Mavi
- sınır
- Alt
- Kırık
- tarayıcı
- bülten
- hesaplanmış
- denilen
- aramalar
- kart
- Kartlar
- taşımak
- Sürdürmek
- dava
- yakalandı
- Merkez
- değişiklik
- kod
- renk
- rahat
- Şirketler
- şirket
- bileşen
- Endişeler
- Davranış
- Düşünmek
- kabul
- dikkate
- kontrol
- kurs
- kapak
- Suçlular
- Crooks
- akım
- kesim
- Siber suç
- siber suçluların
- Siber güvenlik
- tarihli
- gün
- Günler
- ölü
- karar
- kararlı
- cihaz
- DID
- zor
- dijital
- özürlü
- ekran
- Değil
- yapıyor
- Dont
- çift
- aşağı
- Efekt
- çaba
- başkasının
- çalışanların
- etkin
- uçları
- Mühendislik
- yeterli
- olmasını sağlar
- Keşfet
- Hatta
- Her
- herkes
- beklemek
- sahte
- Özellikler(Hazırlık aşamasında)
- az
- takip etme
- formlar
- Ücretsiz
- Cuma
- itibaren
- ön
- tam
- genellikle
- almak
- alma
- Vermek
- verilmiş
- Go
- Goes
- gidiş
- harika
- grup
- Zor
- yükseklik
- yüksek profilli
- ambar
- duraksamak
- Ne kadar
- Nasıl Yapılır
- Ancak
- HTTPS
- yasadışı
- önemli
- önemli yön
- geliştirme
- in
- dahil
- içerir
- Dahil olmak üzere
- yerine
- yorumlama
- araştırmak
- ilgili
- IT
- jargon
- birleştirme
- tutmak
- Bilmek
- bilinen
- son
- öğrendim
- Led
- yükümlülük
- hayat
- Uzun
- uzun
- kaybeder
- yapmak
- çok
- Mart
- Kenar
- usta
- maksimum genişlik
- üye
- adı geçen
- mesaj
- mesajları
- yöntem
- en az
- azınlık
- Telefon
- cep telefonu kullanıyor.
- para
- Daha
- isim
- gerek
- ihtiyaçlar
- ağ
- yeni
- sonraki
- normal
- numara
- sayılar
- Eski
- ONE
- Online
- açık
- Operasyon
- aslında
- Diğer
- aksi takdirde
- kendi
- Bölüm
- Şifre
- Paul
- insanların
- belki
- dönem
- kişi
- Kimlik avı
- telefon
- parça
- Sade
- plan
- planlanmış
- Platon
- Plato Veri Zekası
- PlatoVeri
- Lütfen
- havuz
- Popüler
- pozisyon
- mümkün
- Mesajlar
- güç kelimesini seçerim
- hazırlanmış
- birincil
- muhtemelen
- süreç
- PLATFORM
- programlanmış
- korumalı
- sağlanan
- tanıtım
- amaç
- koymak
- RE
- Okumak
- neden
- makbuzlar
- teslim almak
- alma
- hatırlamak
- Kaldır
- rapor
- gerektirir
- DİNLENME
- açığa vurmak
- Risk
- güvenli
- Adı geçen
- İndirim
- diyor
- saniye
- güvenli
- Güvenli
- güvenlik
- görünüyor
- gönderme
- Dizi
- ciddi
- hizmet
- Hizmetler
- set
- Mağaza
- kısa
- şov
- Gösteriler
- SIM
- SIM Kart
- SIM değişimi
- basitleştirmek
- sadece
- becerileri
- daha küçük
- SMS
- So
- Sosyal Medya
- Sosyal mühendislik
- katı
- biraz
- Birisi
- biraz
- Kaynak
- özel
- özellikle
- başlama
- başlar
- kalmak
- top çalma
- Yine
- çalıntı
- dur
- Durdurur
- mağaza
- saklı
- aboneler
- destek
- SVG
- anahtar
- sistem
- Bizi daha iyi tanımak için
- alma
- Hedeflenen
- hedefler
- anlatır
- manifatura
- The
- ve bazı Asya
- zaman
- timezone
- için
- çok
- üst
- TOTP
- geçiş
- şeffaf
- Salı
- Dönük
- Dönüş
- tipik
- anlayış
- kilidini açmak
- açma
- URL
- kullanım
- kullanıcı
- kullanıcılar
- genellikle
- değer
- üzerinden
- Bekleyen
- Web sitesi
- Ne
- olup olmadığını
- hangi
- süre
- DSÖ
- irade
- istekli
- sözler
- İş
- iş akışı
- çalışır
- endişeli
- değer
- olur
- X
- yıl
- kendiniz
- zefirnet