Twitterの2要素認証で電話番号が不要に

人々のストレスを軽減するために、Twitterはログインシステムに変更を加えています。マイクロブログプラットフォームのセキュリティチームは昨日ツイートで、これからユーザーは2因子認証（2FA）オプションがわずかに異なると発表しました 。問題のツイートは次のとおりです。

また、Two-Factor Authenticationを使用してアカウントを簡単に保護できます。本日より、電話番号なしで2FAに登録できます。 https://t.co/AxVB4QWFA1

— Twitter Safety（@TwitterSafety） 2019年11月21日

あなたの多くは、主要なニュースを280文字未満で発表することはできないと言うでしょう。たとえそれができたとしても、この特定のツイートはあまりエキサイティングではないと主張する人もいるかもしれません。ただし、さらに深く掘り下げると、この発表が重要であることがわかります。

Twitterの2FAシステムが電話番号なしで機能するようになりました

Twitterの2FAシステムには、2番目の要素に3つのオプションが組み込まれています。ワンタイムパスワード（OTP）をSMS経由で配信できます。モバイル認証アプリケーションを使用できます。または、ハードウェアトークンを使用できます。

ただし、これまでのところ、Twitterでは、テキストメッセージを使用するかどうかに関係なく、2要素認証を有効にするためにアカウントに電話番号を接続する必要がありました。これは設計上の欠陥ではなく、何百万もの電話番号を収集して最低入札者に販売する計画でもありませんでした。実際には安全機能でした。

トークンを紛失した場合、またはモバイル認証アプリケーションにアクセスできなかった場合、電話番号はフェールセーフとして機能しました。何が起こっても、あまり手間をかけずにアカウントにアクセスできるようにするためにありました。これで、あなたはそれを提供する必要がなくなり、すでに追加した人は2FAを無効にすることなく削除できます。この背後にある理由は何ですか？

あなたの電話番号が危険にさらされた場合、ツイッターはどれほどひどいことが起こる可能性があるかを知っています

Twitterは本質的に欠陥のある SMSベースの2FAを削除していません。電話番号をアカウントにリンクし、Twitterのワンタイムコードをテキストメッセージで受信できます。代わりにソーシャルネットワークで行われているのは、電話番号を共有したくないユーザーに二要素認証の使用を許可することです。また、TwitterのCEO以外の何人かを含む一部の人々は、電話番号の共有に消極的である十分な理由があります。

9月に、ジャックドーシーのTwitterアカウントがハイジャックされました 。犯罪者は彼のパスワードを推測しませんでしたが、Twitterのシステムに侵入しませんでした. 代わりに、 SIMスワッピング攻撃と呼ばれるものを実装しました。

本質的に、彼らはドーシーの電話番号をハイジャックし、Twitterの古いSMS経由のツイートサービスを使用して不快なコンテンツを広めました。テキストメッセージによるツイートのオプションはほぼ即座に無効になりましたが、攻撃はTwitterの全員に電話番号のハイジャックの危険性を警告し、今では人々は自分自身を保護するオプションを与えられています。

公平を期すために、ジャックドーシーのような人々の影響力とフォロワー数を持たない通常のユーザーは、SIMスワッピング攻撃の犠牲になる可能性が低いです。それでも、連絡先の詳細を公開することに関連する他のリスクがあります。つまり、アカウントにすでに電話番号を追加している場合は、削除することを検討してください。それには、 [設定とプライバシー ] > [ アカウント] > [ 電話 ] > [電話番号を削除]に移動します。

何をするにしても、2FAがオンになっていることを確認してください。それには、 [設定とプライバシー ] > [ アカウント] > [ セキュリティ ] > [ 二要素認証]に移動します。