Twitter выдаляе двухфактарную аўтэнтыфікацыю (2FA) з тэкставых паведамленняў для непадпісчыкаў

Twitter абвясціў, што з 2 сакавіка толькі карыстальнікі Twitter Blue, прэміум-падпіскі платформы, будуць мець доступ да двухфактарнай аўтэнтыфікацыі (20FA) праз SMS. Гэты крок выклікаў заклапочанасць наконт бяспекі ўліковых запісаў Twitter, паколькі 2FA дазваляе карыстальнікам дадаць дадатковы ўзровень бяспекі сваім уліковым запісам у Інтэрнэце, акрамя пароляў. Карыстальнікі SMS 2FA, якія не падпісаны на Twitter Blue, атрымалі ў дадатку папярэджанне з просьбай выдаліць метад да заканчэння тэрміну, каб не страціць доступ да свайго ўліковага запісу.

Прычыны адмены аўтэнтыфікацыі па смс

Па словах Ілона Маска, уладальніка і генеральнага дырэктара Twitter, выдаленне SMS-аўтэнтыфікацыі звязана з высокімі выдаткамі, якія Twitter павінен несці за гэты метад. Маск напісаў у твітары, што тэлефонныя кампаніі «ашукалі» Twitter і плацяць больш за 60 мільёнаў долараў (49 мільёнаў фунтаў стэрлінгаў) у год за «фальшывыя SMS-паведамленні 2FA». Ён таксама сказаў, што яго праграма аўтэнтыфікацыі, якая застанецца бясплатнай, была больш бяспечнай.

Эксперты па бяспецы і непакой карыстальнікаў

Некаторыя эксперты па бяспецы папярэджваюць, што аўтэнтыфікацыя праз SMS можа быць менш бяспечнай, чым іншыя метады, напрыклад праграмы аўтэнтыфікацыі, але яна застаецца папулярнай, таму што простая ў выкарыстанні. Рэйчэл Тобак, эксперт па бяспецы, напісала ў твітары, што рашэнне Twitter было «страшным» і што аўтаматычнае выдаленне карыстальнікаў SMS 2FA, якія не з'яўляюцца абанентамі Twitter Blue, падвяргае іх рызыцы. Яна спасылалася на справаздачу ў Twitter за ліпень 2022 года, якая паказвае, што толькі ў 2,6% актыўных уліковых запісаў Twitter была ўключана 2FA ў перыяд з ліпеня 2021 года па снежань 2021 года, але з іх 74,4% выкарыстоўвалі метад SMS.

Прафесар Алан Вудворд з Універсітэта Сурэя сказаў, што ён аддаў бы перавагу людзям выкарыстоўваць што-небудзь, чым нічога, што можа быць менавіта тым, што спакушаюцца зрабіць менш дасведчаныя ў тэхніцы. Ён таксама сказаў, што рашэнне Маск эфектыўна перашкаджаць 2FA для многіх карыстальнікаў здавалася жудасна блізарукай ілжывай эканоміяй.

Альтэрнатывы аўтэнтыфікацыі па SMS

Twitter рэкамендуе карыстальнікам SMS 2FA, якія не з'яўляюцца падпісчыкамі Twitter Blue, разгледзець магчымасць выкарыстання праграмы аўтэнтыфікацыі або метаду ключа доступу. Гэтыя метады патрабуюць ад карыстальнікаў фізічнага валодання метадам аўтэнтыфікацыі і з'яўляюцца выдатным спосабам гарантаваць бяспеку свайго ўліковага запісу. Аднак гэтыя метады могуць быць больш складанымі ў выкарыстанні, чым аўтэнтыфікацыя праз SMS.

У заключэнне, выдаленне аўтэнтыфікацыі SMS для падпісчыкаў, якія не ўваходзяць у Twitter Blue, выклікала занепакоенасць бяспекай уліковых запісаў Twitter, так як гэты метад просты ў выкарыстанні і застаецца папулярным, нягледзячы на ​​занепакоенасць яго бяспекай. Рашэнне Twitter прапаноўваць аўтэнтыфікацыю па SMS толькі абанентам Twitter Blue было абумоўлена высокімі выдаткамі і злоўжываннем гэтым метадам з боку «дрэнных акцёраў» у блогу Twitter.

Карыстальнікам SMS 2FA, якія не з'яўляюцца падпісчыкамі Twitter Blue, рэкамендуецца замест гэтага выкарыстоўваць праграму аўтэнтыфікацыі або метад ключа доступу. Нягледзячы на ​​тое, што гэтыя метады могуць быць больш складанымі ў выкарыстанні, чым аўтэнтыфікацыя па SMS, яны забяспечваюць павышаную бяспеку і маюць меншую верагоднасць узлому.

Рашэнне Twitter адмяніць аўтэнтыфікацыю SMS выклікае больш шырокія пытанні аб бяспецы ў Інтэрнэце і аб абавязках кампаній па абароне дадзеных сваіх карыстальнікаў. Карыстальнікі павінны ведаць пра рызыку выкарыстання менш бяспечных метадаў бяспекі і прымаць меры для абароны сваіх уліковых запісаў у Інтэрнэце. Кампаніі, з іншага боку, павінны прыняць меры для забеспячэння бяспекі ўліковых запісаў сваіх карыстальнікаў і пераканацца, што прапанаваныя метады бяспекі даступныя для ўсіх, незалежна ад іх здольнасці плаціць за прэміум-падпіску.