Dwuskładnikowe uwierzytelnianie na Twitterze nie wymaga już numeru telefonu

Aby zapewnić użytkownikom mniej stresujące wrażenia, Twitter wprowadza zmiany w systemie logowania. Zespół bezpieczeństwa platformy mikroblogowania ogłosił wczoraj w tweecie, że od teraz użytkownicy będą mieli nieco inne opcje uwierzytelniania dwuskładnikowego (2FA). Oto tweet, o którym mowa:

Ułatwiamy również bezpieczeństwo Twojego konta dzięki uwierzytelnianiu dwuskładnikowemu. Od dziś możesz zarejestrować się w 2FA bez numeru telefonu. https://t.co/AxVB4QWFA1

- Bezpieczeństwo na Twitterze (@TwitterSafety) 21 listopada 2019 r

Wielu z was powiedziałoby, że ważnej wiadomości nie można ogłosić w mniej niż 280 znakach. Niektórzy mogą twierdzić, że nawet jeśli to możliwe, ten konkretny tweet nie jest zbyt ekscytujący. Jednak podczas kopania głębiej zobaczysz, że ogłoszenie jest znaczące.

System 2FA na Twitterze może teraz działać bez Twojego numeru telefonu

System 2FA na Twitterze zawiera trzy opcje dla drugiego czynnika: możesz otrzymać jednorazowe hasło (OTP) za pośrednictwem SMS-a; możesz użyć aplikacji mobilnego uwierzytelniania; lub możesz użyć tokena sprzętowego.

Do tej pory jednak Twitter wymagał, aby numer telefonu był podłączony do konta, aby umożliwić uwierzytelnianie dwuskładnikowe, niezależnie od tego, czy chcesz używać wiadomości tekstowych. Nie była to wada projektowa, ani też nie był to plan zbierania milionów numerów telefonów i sprzedawania ich najtańszym. To była właściwie funkcja bezpieczeństwa.

Twój numer telefonu działał jako bezpieczny w przypadku zgubienia tokena lub braku dostępu do aplikacji mobilnego uwierzytelnienia. Zadbano o to, aby cokolwiek się wydarzyło, nadal będziesz mieć dostęp do swojego konta bez większych problemów. Teraz nie musisz już go dostarczać, a ci z was, którzy go już dodali, mogą go usunąć bez wyłączania 2FA. Jakie jest tego uzasadnienie?

Twitter wie, jak bardzo złe rzeczy mogą się wydarzyć, jeśli twój numer telefonu zostanie naruszony

Twitter nie usuwa z natury wadliwego 2FA opartego na SMS-ach. Nadal możesz połączyć swój numer telefonu ze swoim kontem i otrzymać jednorazowy kod w wiadomości SMS. Zamiast tego sieć społecznościowa pozwala użytkownikom, którzy nie chcą udostępniać swojego numeru telefonu, korzystać z uwierzytelniania dwuskładnikowego. Niektóre osoby, w tym nikt inny niż prezes Twittera, mają powody do niechęci do dzielenia się numerami telefonów.

We wrześniu Jack Dorsey miał przejęte konto na Twitterze. Przestępcy nie odgadli jego hasła i nie infiltrowali systemów Twittera. Zamiast tego przeprowadzili atak zwany zamianą karty SIM.

W istocie porwali numer telefonu Dorsey i wykorzystali starą usługę Twitter tweet-via-SMS do rozpowszechniania obraźliwych treści. Chociaż opcja tweetowania za pośrednictwem wiadomości tekstowych została prawie natychmiast wyłączona, atak ostrzegł wszystkich na Twitterze o niebezpieczeństwach związanych z przejęciem numerów telefonów, a teraz ludzie mają możliwość ochrony siebie.

Szczerze mówiąc, zwykli użytkownicy, którzy nie mają wpływu ani liczby obserwujących ludzi, takich jak Jack Dorsey, raczej nie padną ofiarą ataku polegającego na zamianie karty SIM. Istnieją jednak inne zagrożenia związane z ujawnieniem ich danych kontaktowych, co oznacza, że jeśli już dodałeś swój numer telefonu do swojego konta, możesz rozważyć jego usunięcie. Możesz to zrobić, przechodząc do Ustawienia i prywatność > Konto > Telefon > Usuń numer telefonu.

Cokolwiek zrobisz, upewnij się, że 2FA jest włączony. Aby to zrobić, przejdź do Ustawienia i prywatność > Konto > Bezpieczeństwo > Uwierzytelnianie dwuskładnikowe.