Twitter's 2-faktor-godkjenning krever ikke lengre telefonnummer

Twitter No Longer Requires Phone Number for 2FA

I et forsøk på å gi folk en mindre stressende opplevelse, gjør Twitter endringer i påloggingssystemet. Microblogging-plattformens sikkerhetsgruppe kunngjorde i en tweet i går at brukere fra nå av vil ha litt forskjellige to-faktor autentisering (2FA) alternativer. Her er tweeten det gjelder:

Mange av dere vil si at et stort stykke nyheter ikke kan kunngjøres med mindre enn 280 tegn. Noen vil kanskje hevde at selv om det kan være, er ikke denne spesielle tweeten veldig spennende. Når du graver dypere, vil du imidlertid se at kunngjøringen er viktig.

Twitter's 2FA-system kan nå fungere uten telefonnummeret ditt

Twitter's 2FA-system inneholder tre alternativer for den andre faktoren: Du kan få et engangs passord (OTP) levert til deg via en SMS; du kan bruke en mobil autentiseringsapplikasjon; eller du kan bruke et maskinvaretoken.

Frem til nå krever imidlertid Twitter at du hadde telefonnummeret ditt koblet til kontoen din for å aktivere tofaktorautentisering, uavhengig av om du ønsket å bruke tekstmeldinger eller ikke. Dette var ingen designfeil, og det var heller ikke et opplegg å samle inn millioner av telefonnumre og selge dem videre til lavestbydende. Det var faktisk en sikkerhetsfunksjon.

Telefonnummeret ditt fungerte som en feil-sikker i tilfelle du mistet tokenet ditt eller ikke kunne få tilgang til mobilautentiseringsprogrammet. Den var der for å sikre at uansett hva som skjer, vil du fortsatt kunne få tilgang til kontoen din uten for mye bry. Nå er du ikke lenger pålagt å oppgi det, og de av dere som allerede har lagt det til, kan slette det uten å deaktivere 2FA. Hva er begrunnelsen bak dette?

Twitter vet hvor dårlig gale ting kan gå hvis telefonnummeret ditt er kompromittert

Twitter fjerner ikke den iboende mangelfulle SMS-baserte 2FA. Du kan fremdeles koble telefonnummeret til kontoen din og motta Twitter engangskoden i en tekstmelding. Det sosiale nettverket gjør i stedet er å la brukere som ikke vil dele telefonnummeret sitt, bruke tofaktorautentisering. Og noen mennesker, inkludert ingen ringere enn Twitter sin egen administrerende direktør, har en god grunn til å være motvillige til å dele telefonnumrene sine.

Tilbake i september fikk Jack Dorsey sin Twitter-konto kapret. De kriminelle gjettet ikke passordet hans, og de infiltrerte ikke Twitter-systemene. I stedet monterte de det som er kjent som et SIM-bytteangrep.

I all hovedsak kapret de Dorseys telefonnummer og brukte Twitter sin gamle tweet-via-SMS-tjeneste for å spre støtende innhold rundt. Selv om muligheten for å twitre via tekstmeldinger ble deaktivert nesten umiddelbart, varslet angrepet alle på Twitter om farene ved kaprede telefonnumre, og nå får folk muligheten til å beskytte seg selv.

For å være rettferdig, er det ikke sannsynlig at vanlige brukere som ikke har innflytelse og etterfølgende antall personer som Jack Dorsey, blir ofre for et SIM-bytteangrep. Fortsatt er det andre risikoer forbundet med å få eksponert kontaktinformasjonen sin, noe som betyr at hvis du allerede har lagt til telefonnummeret til kontoen din, kan det være lurt å vurdere å slette den. Du kan gjøre det ved å gå til Innstillinger og personvern > Konto > Telefon > Slett telefonnummer.

Uansett hva du gjør, sørg for at 2FA er slått på. For å gjøre det, gå til Innstillinger og personvern > Konto > Sikkerhet > To-faktor autentisering.

November 22, 2019

Legg igjen et svar

VIKTIG! For å kunne gå videre, må du løse følgende enkle matematikk.
Please leave these two fields as is:
Hva er 7 + 7?