Ključni izsledki
- Kibernetska kriminaliteta je v porastu že skoraj pol desetletja, pri čemer so v zadnjem letu posebej problematični napadi z lažnim predstavljanjem.
- Od leta 2016 je Twitter doživel več odmevnih kibernetskih napadov in zdaj uporabnikom ponuja možnost fizičnih varnostnih ključev.
- Podjetje trdi, da je metoda eden najmočnejših načinov za zaščito računa.
Po skoraj pol desetletja naraščajoče kibernetske kriminalitete in letu, ki so ga zaznamovale odmevne kršitve, Twitter ponuja novo varnostno funkcijo, ki bi lahko pomagala zmanjšati tveganje ciljnih napadov na uporabniške račune.
Glede na objavo v spletnem dnevniku, objavljeno 30. junija, velikan družbenih medijev zdaj uporabnikom ponuja možnost, da fizične varnostne ključe naredijo kot edino metodo dvofaktorske avtentikacije (2FA) – poteza, ki bi lahko pripomogla k temu, da bodo računi bolj varno, medtem ko odpravlja prejšnjo zahtevo za šibkejše metode varnostnega kopiranja.
Kljub temu strokovnjaki opozarjajo, da ima vsaka metoda 2FA kompromise.
»Težava je v tem, da nobena od teh [metod avtentikacije] ni res tako absolutna, kot si ljudje mislijo, da je,« je za Lifewire povedal Joseph Steinberg, strokovnjak za kibernetsko varnost s 25-letnim stažem in avtor več knjig, vključno s Kibernetsko varnostjo za telebane. telefon.
Fizični varnostni ključi, razloženo
Po Steinbergu obstaja več vrst večfaktorske avtentikacije – vsaka s svojimi prednostmi in pomanjkljivostmi.
Fizični varnostni ključi, kot so tisti, ki jih ponuja Twitter, so majhne naprave, ki jih morajo uporabniki fizično priključiti na svoje osebne naprave ali jih sinhronizirati z njimi, da se prijavijo v svoje račune – podobno kot avtomobilski ključi. To ponuja prednost, saj preprečuje hekerjem dostop do računov na daljavo z lažnim predstavljanjem ali zlonamerno programsko opremo.
…Malo verjetno je, da bo nekdo zdaj zamenjal, ko obstajajo lažji mehanizmi, ki veljajo za dovolj dobre.
Glede na Twitterjevo objavo v spletnem dnevniku lahko ključi "ločijo zakonita spletna mesta od zlonamernih in blokirajo poskuse lažnega predstavljanja, ki jih SMS ali kode za preverjanje ne bi."
Teoretično ključi ponujajo najmočnejšo varnostno rešitev za uporabnike, vendar so tudi ena najmanj priročnih rešitev za vsakodnevne uporabnike.
"Glavna pomanjkljivost je, da morate zdaj poleg telefona nositi tudi ključ," je pojasnil Steinberg. "Torej, če želite tvitati s plaže, imate pri sebi telefon in varnostni ključ."
Steinberg je tudi opozoril, da obstaja tveganje izgube fizičnih varnostnih ključev, kar lahko povzroči, da uporabnik zaklene svoj račun.
Uravnoteženje kompromisov
Manj varne metode preverjanja pristnosti, na primer pošiljanje kode za prijavo v mobilni telefon, so za uporabnike pogosto bolj priročne kot fizični varnostni ključi, vendar lahko predstavljajo večje tveganje.
Steinberg je dejal, da lahko hekerji prestrežejo kode SMS z metodami, kot je zamenjava SIM, kjer tatovi ukradejo uporabnikovo telefonsko številko in prejmejo kode na svojo napravo.
Če se zanašate na besedilna sporočila in nekdo nekako ukrade vašo telefonsko številko in začne prejemati vaša besedilna sporočila, imate težavo, ker bodo prejeli vaše kode in jih lahko ponastavite vaša gesla, «je dejal Steinberg.
Aplikacije za preverjanje pristnosti, ki ustvarijo kodo za enkratno prijavo, so še ena priljubljena metoda 2FA, vendar še vedno predstavljajo tveganje, da do njih dostopajo hekerji.
»Če se uporabnik prijavi na lažno spletno mesto in vnese to kodo, ima lažni uporabnik to kodo in jo lahko takoj prenese na pravo mesto,« je pojasnil Steinberg in dodal, da obstaja tudi tveganje izgube telefon in zato izgubite dostop do aplikacije.
Še bolj zapletene metode, kot je biometrična avtentikacija prstnih odtisov, lahko predstavljajo tveganje.
"Vaši prstni odtisi so povsod po telefonu, ker se ga dotikate," je dejal Steinberg in pojasnil, da lahko prefinjeni tatovi dvignejo vaše odtise in jih uporabijo za prijavo v napravo. "Senzor prstnih odtisov ne more ugotoviti, ali je dejanski človek vtaknil svoj prst tja, v primerjavi z nekom, ki je dal sliko prstnega odtisa, ki je bil dvignjen s telefona."
Tehtanje prednosti
Zaradi nevšečnosti pri nošenju dodatnega fizičnega varnostnega ključa je Steinberg dejal, da ne vidi večine vsakodnevnih uporabnikov, ki bi zamenjali, kar ponuja Twitter.
Težava je v tem, da nobena od teh [načinov avtentikacije] v resnici ni tako absolutna, kot si ljudje mislijo, da je.
Moje izkušnje so pokazale, da je malo verjetno, da bo nekdo zdaj zamenjal celo stvari, ki so majhne težave, ko gre za varnost - razen če je nekdo vdrl in je utrpel resne posledice -, ko obstajajo lažji mehanizmi, meni, da je dovolj dobro, «je dejal Steinberg.
Kljub temu je Steinberg dejal, da bi določene skupine uporabnikov, kot so podjetja in posamezniki na visokem položaju, lahko imele koristi od fizičnih varnostnih ključev.
Čeprav ni popolne rešitve za zaščito uporabnikovega računa v družabnem omrežju, je Steinberg poudaril, da je kakršna koli oblika večstopenjske avtentikacije boljša kot nobena, saj se računi v družabnih omrežjih pogosto uporabljajo za prijavo v druge povezane račune prek platforme.
»Če danes ne uporabljate dvostopenjske avtentikacije za svoje račune v družabnih omrežjih, jo vklopite,« je rekel Steinberg.
