توییتر دیروز اعلام کرد از 20 مارس، تنها در صورت پرداخت هزینه اشتراک Twitter Blue، به کاربران خود اجازه می دهد تا حساب های خود را با احراز هویت دو مرحله ای مبتنی بر پیامک ایمن کنند. احراز هویت دو مرحله ای یا 2FA از کاربران می خواهد که با نام کاربری و رمز عبور و سپس یک “عامل” اضافی مانند یک کد عددی وارد سیستم شوند. کارشناسان امنیتی مدتهاست که توصیه میکنند مردم از یک برنامه ژنراتور برای دریافت این کدها استفاده کنند. اما دریافت آنها در پیامهای متنی اس ام اس یک جایگزین محبوب است، بنابراین حذف آن گزینه برای کاربران بدون حقوق، باعث شده کارشناسان امنیتی سر خود را خاردار کنند.
حرکت دو عاملی توییتر آ،ین مورد از یک سری تغییرات سیاست بحث برانگیز از زم، است که ایلان ماسک این شرکت را در سال گذشته تصاحب کرد. سرویس پولی Twitter Blue – اکنون تنها راه برای دریافت علامت تأیید شده آبی در حسابهای توییتر – 11 دلار در ماه در Android و iOS هزینه دارد و برای اشتراک فقط دسکتاپ کمتر است. کاربر، که از احراز هویت دو مرحلهای مبتنی بر پیامک بوت میشوند، این گزینه را خواهند داشت که به یک برنامه احراز هویت یا یک کلید امنیتی فیزیکی سوئیچ کنند.
توییتر در نامه ای نوشت: «در حالی که از لحاظ تاریخی شکل محبوب 2FA بود، متأسفانه شاهد استفاده از 2FA مبتنی بر شماره تلفن بوده ایم که توسط بازیگران بد مورد سوء استفاده قرار گرفته است. پست وبلاگ دیروز عصر منتشر شد بنابراین از امروز، دیگر به حسابها اجازه نمیدهیم در روش پیامک/اس ام اس 2FA ثبت نام کنند، مگر اینکه مش، توییتر آبی باشند.
که در گزارش ژوئیه 2022 در مورد امنیت حسابتوییتر گفت که تنها 2.6 درصد از کاربران فعال آن هر نوع احراز هویت دو مرحله ای را فعال کرده اند. از این کاربران، نزدیک به 75 درصد از نسخه اس ام اس استفاده می ،د. تقریباً 29 درصد از برنامه های احراز هویت استفاده می ،د و کمتر از 1 درصد یک کلید تأیید هویت فیزیکی اضافه کرده بودند.
احراز هویت دو مرحله ای مبتنی بر پیامک ناامن است زیرا مهاجمان می توانند شماره تلفن اه، را ربوده یا از تکنیک های دیگر برای رهگیری متون استفاده کنند. اما کارشناسان امنیتی مدتها تاکید کردهاند که استفاده از پیامک دو مرحلهای بهطور قابلتوجهی بهتر از فعال نبودن فاکتور دوم تأیید اعتبار است.
به طور فزایندهای، غولهای فناوری مانند اپل و گوگل این گزینه را برای کاربران دو مرحلهای و انتقالی پیامک (معمولاً طی ماهها یا سالها) به سایر اشکال احراز هویت حذف کردهاند. محققان نگرانند که تغییر خط مشی توییتر با دادن زمان کمی به آنها برای تکمیل این انتقال و ایجاد پیامک دو عاملی مانند یک ویژگی برتر، باعث سردرگمی کاربران شود.
«وبلاگ توییتر به درستی اشاره می کند که احراز هویت دو مرحله ای که از پیام های متنی استفاده می کند اغلب توسط بازیگران بد سوء استفاده می شود. لوری کرنور، مدیر آزمایشگاه حریم خصوصی و امنیت قابل استفاده Carnegie Mellon می گوید: من موافقم که نسبت به سایر روش های 2FA از امنیت کمتری برخوردار است. اما اگر انگیزه آنها امنیت باشد، آیا نمی خواهند حساب های پولی را نیز ایمن نگه دارند؟ منطقی نیست که روش کمتر امن را فقط برای حسابهای پولی مجاز کنیم.»
در حالی که این شرکت میگوید تغییرات دو عاملی در اواسط ماه مارس ارائه میشود، کاربران توییتر با فعال ، پیامک دو عاملی دیروز با یک صفحه نمایش همپوش، پاپآپ مواجه شدند که به آنها توصیه میکرد که دو عامل را به طور کامل حذف کنند یا به « برنامه احراز هویت یا روشهای کلید امنیتی.»
مشخص نیست اگر کاربران تا مهلت جدید پیامک دو مرحله ای را غیرفعال نکنند چه اتفاقی می افتد. پیام درونبرنامهای به کاربران به این م،ی است که افرادی که هنوز پیامک دو مرحلهای را فعال کردهاند، زم، که تغییر بهطور رسمی در 20 مارس رخ میدهد، حسابهایشان قفل خواهند شد. در این اطلاعیه آمده است: «برای جلوگیری از از دست دادن دسترسی به توییتر، احراز هویت دو مرحلهای پیامک را تا 19 مارس 2023 حذف کنید. اما پست وبلاگ توییتر می گوید که اگر کاربران قبل از آن زمان آن را تنظیم نکنند، دو عامل به سادگی در 20 مارس غیرفعال می شود. این شرکت نوشت: «پس از 20 مارس 2023، دیگر به مش،ین آبی توییتر اجازه استفاده از پیامهای متنی به ،وان روش 2FA را نخواهیم داد. «در آن زمان، حسابهایی که پیامک 2FA هنوز فعال است، آن را غیرفعال میکنند.»
منبع: https://www.wired.com/story/twitter-sms-2fa-twitter-blue/