Правила за сигурност на Twitter.
Скорошното съобщение на Twitter започна да разтърсва лодката на многократната автентикация (MFA), и вълните се разпространиха в целия технологичен свят. Компанията обяви, че започвайки от 20 март 2023 г., освен ако потребител не се абонира за програмата Twitter Blue (абонамент за $11 на месец), той ще загуби достъпа до двуфакторната аутентикация (2FA), базирана на SMS. SMS исторически е бил представян като механизъм с ниско триене, който прехвърля няколко функции за сигурност и възстановяване към мобилните оператори на потребителите.
Скорешната история показа, че не всички видове многократна аутентикация (MFA) са създадени равно, като се подчертаха уязвимостите на 2FA, базирана на SMS, поради атаки с SIM размяна и социален инженеринг. Също така съществуват и допълнителни разходи, свързани с компаниите, които избират да активират SMS 2FA.
При изпращането на SMS кодове към устройства, комуникацията се предава чрез трета страна, като телефонната компания или услуга за съобщения. Тези съобщения се изпращат автоматично като част от процеса на влизане в системата. При малки мащаби това може да изглежда като пренебрежим разход спрямо други методи. Въпреки това, за големи доставчици на услуги като Twitter, злоупотребата с тези механизми може да бъде много скъпа. Злонамерени лица могат да използват този метод, създавайки групи от акаунти и след това изпращайки неподготвени MFA съобщения в атаки с SMS Pumping.
Легитимни акаунти също могат да бъдат компрометирани в сценарии на отвличане на акаунт или кражба на самоличност чрез SIM размяна и социален инженеринг. Дори за малки и средни предприятия, разходите на трети страни, свързани с SMS, могат да се увеличат – особено ако услугата е цел на атаки с SMS Pumping.
За щастие, чрез приемане на алтернативни съвременни методи за многократна аутентикация (MFA) като FIDO2/WebAuthn, доставчиците на услуги могат да запазят леснотата на употреба и гъвкавостта в работните процеси на MFA и да се отърват от големите разходи и рискове, свързани с SMS.
MFA – FIDO2 и WebAuthn.
Стандартът WebAuthn , известен още като FIDO2, описва лесни за използване и криптографски сигурни методи за удостоверяване, които са гъвкави, модерни и не изискват допълнителни разходи за доставчика на услуги. Поддържа се от всички съвременни операционни системи и браузъри и може да използва вградени функции за удостоверяване на устройства като компютри и телефони – или дори по-сигурни опции като външни ключове за сигурност. Yubico, изобретателят на YubiKey, който е златният стандарт за хардуерни ключове за сигурност, също създаде и продължава да допринася за стандартите FIDO2/WebAuthn.
От средата на 2019 г. Twitter предоставя на клиентите опцията за WebAuthn и това е предпочитаният MFA метод на компанията и за нейните вътрешни служители. Twitter също го поддържа като единствения метод на MFA, който потребителите могат да изберат и който не изисква телефонен номер – помагайки за подобряване на поверителността и анонимността. Инструкции за регистриране на устройства с WebAuthn можете да намерите в базата знания на Twitter тук.
WebAuthn е стандартът за многократна автентикация (MFA), който е устойчив на фишинг и позволява на потребителите да асоциират своите сигурностни ключове или устройства за сигурност в голям набор от услуги. Понеже потребителите използват собствените си автентикатори, а стандартът е безплатен за използване, компаниите могат да предоставят изключително сигурна MFA, без да се налагат непредвидени транзакционни разходи. Twitter, като съкращава есенциално методите за SMS 2FA за потребители, които не са абонати на Twitter Blue, прави смел стъпка напред както в контролирането на разходите си, така и в насочването на потребителите към по-силни и по-лесни методи за автентикация.
Източник: Josh Cigna / Yubico.com