Двухфакторная аутентификация Twitter больше не требует вашего номера телефона

Чтобы дать людям меньше стресса, Twitter вносит изменения в свою систему входа в систему. Команда безопасности платформы микроблогов вчера объявила в твиттере, что отныне у пользователей будут немного отличаться опции двухфакторной аутентификации (2FA). Вот твит в вопросе:

Мы также облегчаем защиту вашей учетной записи с помощью двухфакторной аутентификации. Начиная с сегодняшнего дня, вы можете зарегистрироваться в 2FA без номера телефона. https://t.co/AxVB4QWFA1

- Twitter Safety (@TwitterSafety) 21 ноября 2019 г.

Многие из вас сказали бы, что главная новость не может быть объявлена менее чем 280 символами. Некоторые могут утверждать, что даже если это возможно, этот конкретный твит не очень захватывающий. Однако, когда вы будете копать глубже, вы увидите, что объявление является значительным.

Система 2FA в Твиттере теперь может работать без вашего номера телефона

Система Twitter 2FA включает в себя три варианта второго фактора: вы можете получить одноразовый пароль (OTP), доставленный вам с помощью SMS; вы можете использовать мобильное приложение-аутентификатор; или вы можете использовать аппаратный токен.

Однако до сих пор Twitter требовал, чтобы ваш телефонный номер был подключен к вашей учетной записи, чтобы включить двухфакторную аутентификацию, независимо от того, хотите ли вы использовать текстовые сообщения. Это не было недостатком дизайна, и при этом это не была схема, чтобы собрать миллионы телефонных номеров и продать их по самой низкой цене. На самом деле это была функция безопасности.

Ваш телефонный номер действовал как отказоустойчивый в случае, если вы потеряли свой токен или не смогли получить доступ к приложению мобильной аутентификации. Это было сделано, чтобы гарантировать, что что бы ни случилось, вы все равно сможете получить доступ к своей учетной записи без особых хлопот. Теперь вам больше не нужно предоставлять его, и те из вас, кто уже добавил его, могут удалить его, не отключая 2FA. В чем причина этого?

Твиттер знает, как плохо могут пойти дела, если ваш номер телефона скомпрометирован

Твиттер не удаляет по своей сути недостатки 2FA на основе SMS. Вы по-прежнему можете привязать свой номер телефона к своей учетной записи и получить свой одноразовый код Twitter в текстовом сообщении. Вместо этого социальная сеть позволяет пользователям, которые не хотят делиться своим номером телефона, использовать двухфакторную аутентификацию. И у некоторых людей, в том числе и у самого генерального директора Twitter, есть веские основания неохотно делиться своими номерами телефонов.

Еще в сентябре Джеку Дорси был похищен его аккаунт в Твиттере. Тем не менее, преступники не угадали его пароль и не проникли в системы Twitter. Вместо этого они установили так называемую атаку на SIM-карту.

По сути, они похитили номер телефона Дорси и использовали старую услугу Twitter через SMS для распространения оскорбительного контента. Хотя возможность твитнуть с помощью текстовых сообщений была отключена практически сразу, атака предупредила всех в Твиттере об опасностях угнанных телефонных номеров, и теперь людям предоставляется возможность защитить себя.

Честно говоря, обычные пользователи, которые не имеют влияния и количества подписчиков таких людей, как Джек Дорси, вряд ли станут жертвами атаки подкачки SIM-карты. Тем не менее, существуют другие риски, связанные с раскрытием их контактных данных, что означает, что, если вы уже добавили свой номер телефона в свою учетную запись, вы можете рассмотреть возможность его удаления. Вы можете сделать это, перейдя в Настройки и конфиденциальность > Учетная запись > Телефон > Удалить номер телефона.

Что бы вы ни делали, убедитесь, что 2FA включен. Для этого перейдите в Настройки и конфиденциальность > Учетная запись > Безопасность > Двухфакторная аутентификация.