Kluczowe dania na wynos
- Cyberprzestępczość rośnie od prawie pół dekady, a ataki phishingowe były szczególnie problematyczne w ostatnim roku.
- Od 2016 roku Twitter doświadczył kilku głośnych cyberataków i teraz oferuje użytkownikom opcję fizycznych kluczy bezpieczeństwa.
- Firma twierdzi, że metoda ta jest jednym z najsilniejszych sposobów zabezpieczenia konta.
Po prawie pół dekadzie rosnącej cyberprzestępczości i roku naznaczonym głośnymi naruszeniami, Twitter oferuje nową funkcję bezpieczeństwa, która może pomóc zmniejszyć ryzyko ataków ukierunkowanych na konta użytkowników.
Według wpisu na blogu opublikowanego 30 czerwca, gigant mediów społecznościowych oferuje teraz użytkownikom opcję uczynienia fizycznych kluczy bezpieczeństwa jedyną metodą uwierzytelniania dwuskładnikowego (2FA), co może pomóc w zwiększeniu liczby kont bezpieczne, eliminując poprzednie wymaganie dotyczące słabszych metod tworzenia kopii zapasowych.
Nadal eksperci ostrzegają, że każda metoda 2FA wiąże się z kompromisami.
„Problem polega na tym, że żadna z tych [metod uwierzytelniania] nie jest tak absolutna, jak ludziom się wydaje” – powiedział Lifewire Joseph Steinberg, 25-letni ekspert ds. cyberbezpieczeństwa i autor kilku książek, w tym Cybersecurity for Dummies. tel.
Fizyczne klucze bezpieczeństwa, wyjaśnione
Według Steinberga istnieje kilka rodzajów uwierzytelniania wieloskładnikowego - każdy ma swoje zalety i wady.
Fizyczne klucze bezpieczeństwa, takie jak te oferowane przez Twittera, to małe urządzenia, które użytkownicy muszą fizycznie podłączyć lub zsynchronizować z urządzeniami osobistymi, aby zalogować się na swoje konta – podobnie jak kluczyki samochodowe. Daje to korzyść polegającą na uniemożliwieniu hakerom zdalnego dostępu do kont za pomocą ataków phishingowych lub złośliwego oprogramowania.
…Jest mało prawdopodobne, że ktoś się teraz zmieni, gdy istnieją łatwiejsze mechanizmy, które uważa się za wystarczająco dobre.
Według wpisu na blogu Twittera, klucze „mogą odróżnić legalne witryny od złośliwych i zablokować próby phishingu, czego nie zrobiłyby SMS-y lub kody weryfikacyjne”.
Teoretycznie klucze oferują najsilniejsze rozwiązanie zabezpieczające dla użytkowników, ale są też jednym z najmniej wygodnych rozwiązań dla zwykłych użytkowników.
„Główną wadą jest to, że musisz teraz nosić klucz oprócz telefonu” – wyjaśnił Steinberg. „Jeśli więc chcesz ćwierkać z plaży, masz przy sobie telefon i klucz bezpieczeństwa”.
Steinberg ostrzegł również, że fizyczne klucze bezpieczeństwa niosą ze sobą ryzyko zgubienia, co może skutkować zablokowaniem użytkownika z własnego konta.
Zrównoważenie kompromisów
Mniej bezpieczne metody uwierzytelniania, takie jak wysyłanie kodu logowania na telefon komórkowy, są często wygodniejsze dla użytkowników niż fizyczne klucze bezpieczeństwa, ale mogą wiązać się z większym ryzykiem.
Steinberg powiedział, że hakerzy mogą przechwytywać kody SMS za pomocą metod takich jak zamiana karty SIM, gdzie złodzieje kradną numer telefonu użytkownika i otrzymują kody na własne urządzenie.
Jeśli polegasz na wiadomościach tekstowych, a ktoś w jakiś sposób ukradnie twój numer telefonu i zacznie otrzymywać twoje wiadomości tekstowe, masz problem, ponieważ dostanie twoje kody i dostanie w stanie zresetować hasła” – powiedział Steinberg.
Aplikacje uwierzytelniające, które generują jednorazowy kod logowania, to kolejna popularna metoda 2FA, ale nadal niosą ze sobą ryzyko uzyskania dostępu przez hakerów.
„Jeśli użytkownik loguje się na stronie phishingowej i wprowadzi ten kod, phisher ma ten kod i może natychmiast przesłać go do prawdziwej witryny” – wyjaśnił Steinberg, dodając, że istnieje również ryzyko utraty telefon i tym samym tracąc dostęp do aplikacji.
Jeszcze bardziej złożone metody, takie jak biometryczne uwierzytelnianie odcisków palców, mogą wiązać się z ryzykiem.
„Twoje odciski palców są na całym telefonie od dotknięcia go”, powiedział Steinberg, wyjaśniając, że wyrafinowani złodzieje mogą podnieść twoje odciski i użyć ich do zalogowania się na urządzeniu. „Czujnik odcisków palców nie ma możliwości określenia, czy to prawdziwy człowiek wkłada tam swój palec, czy ktoś, kto umieszcza obraz odcisku palca, który został wyjęty z telefonu”.
Ważenie korzyści
Z powodu niedogodności związanych z noszeniem dodatkowego fizycznego klucza bezpieczeństwa, Steinberg powiedział, że nie widzi większości zwykłych użytkowników korzystających z przełącznika oferowanego przez Twittera.
Problem polega na tym, że żadna z tych [metod uwierzytelniania] nie jest tak absolutna, jak ludziom się wydaje.
Z mojego doświadczenia wynika, że nawet rzeczy, które są małym problemem, jeśli chodzi o bezpieczeństwo - chyba że ktoś został naruszony i poniósł poważne konsekwencje - jest mało prawdopodobne, aby ktoś zmienił teraz, gdy istnieją łatwiejsze mechanizmy, które są uważany za wystarczająco dobry”- powiedział Steinberg.
Mimo to Steinberg powiedział, że określone grupy użytkowników, takie jak firmy i znane osoby, mogą korzystać z fizycznych kluczy bezpieczeństwa.
Chociaż nie ma idealnego rozwiązania, aby zabezpieczyć konto użytkownika w mediach społecznościowych, Steinberg podkreślił, że każda forma uwierzytelniania wieloskładnikowego jest lepsza niż żadna, ponieważ konta społecznościowe są często używane do logowania się na inne połączone konta w platformy.
„Jeśli nie używasz dziś uwierzytelniania dwuskładnikowego dla swoich kont w mediach społecznościowych, włącz je”, powiedział Steinberg.