تغییر احراز هویت دو مرحله‌ای توییتر «معنی ندارد»

توییتر دیروز اعلام کرد از 20 مارس، تنها در صورت پرداخت هزینه اشتراک Twitter Blue، به کاربران خود اجازه می دهد تا حساب های خود را با احراز هویت دو مرحله ای مبتنی بر پیامک ایمن کنند. احراز هویت دو مرحله ای یا 2FA از کاربران می خواهد که با نام کاربری و رمز عبور و سپس یک “عامل” اضافی مانند یک کد عددی وارد سیستم شوند. کارشناسان امنیتی مدت‌هاست که توصیه می‌کنند مردم از یک برنامه ژنراتور برای دریافت این کدها استفاده کنند. اما دریافت آن‌ها در پیام‌های متنی اس ام اس یک جایگزین محبوب است، بنابراین حذف آن گزینه برای کاربران بدون حقوق، باعث شده کارشناسان امنیتی سر خود را خاردار کنند.

حرکت دو عاملی توییتر آ،ین مورد از یک سری تغییرات سیاست بحث برانگیز از زم، است که ایلان ماسک این شرکت را در سال گذشته تصاحب کرد. سرویس پولی Twitter Blue – اکنون تنها راه برای دریافت علامت تأیید شده آبی در حساب‌های توییتر – 11 دلار در ماه در Android و iOS هزینه دارد و برای اشتراک فقط دسکتاپ کمتر است. کاربر، که از احراز هویت دو مرحله‌ای مبتنی بر پیامک بوت می‌شوند، این گزینه را خواهند داشت که به یک برنامه احراز هویت یا یک کلید امنیتی فیزیکی سوئیچ کنند.

توییتر در نامه ای نوشت: «در حالی که از لحاظ تاریخی شکل محبوب 2FA بود، متأسفانه شاهد استفاده از 2FA مبتنی بر شماره تلفن بوده ایم که توسط بازیگران بد مورد سوء استفاده قرار گرفته است. پست وبلاگ دیروز عصر منتشر شد بنابراین از امروز، دیگر به حساب‌ها اجازه نمی‌دهیم در روش پیامک/اس ام اس 2FA ثبت نام کنند، مگر اینکه مش، توییتر آبی باشند.

که در گزارش ژوئیه 2022 در مورد امنیت حسابتوییتر گفت که تنها 2.6 درصد از کاربران فعال آن هر نوع احراز هویت دو مرحله ای را فعال کرده اند. از این کاربران، نزدیک به 75 درصد از نسخه اس ام اس استفاده می ،د. تقریباً 29 درصد از برنامه های احراز هویت استفاده می ،د و کمتر از 1 درصد یک کلید تأیید هویت فیزیکی اضافه کرده بودند.

احراز هویت دو مرحله ای مبتنی بر پیامک ناامن است زیرا مهاجمان می توانند شماره تلفن اه، را ربوده یا از تکنیک های دیگر برای رهگیری متون استفاده کنند. اما کارشناسان امنیتی مدت‌ها تاکید کرده‌اند که استفاده از پیامک دو مرحله‌ای به‌طور قابل‌توجهی بهتر از فعال نبودن فاکتور دوم تأیید اعتبار است.

به طور فزاینده‌ای، غول‌های فناوری مانند اپل و گوگل این گزینه را برای کاربران دو مرحله‌ای و انتقالی پیامک (معمولاً طی ماه‌ها یا سال‌ها) به سایر اشکال احراز هویت حذف کرده‌اند. محققان نگرانند که تغییر خط مشی توییتر با دادن زمان کمی به آنها برای تکمیل این انتقال و ایجاد پیامک دو عاملی مانند یک ویژگی برتر، باعث سردرگمی کاربران شود.

«وبلاگ توییتر به درستی اشاره می کند که احراز هویت دو مرحله ای که از پیام های متنی استفاده می کند اغلب توسط بازیگران بد سوء استفاده می شود. لوری کرنور، مدیر آزمایشگاه حریم خصوصی و امنیت قابل استفاده Carnegie Mellon می گوید: من موافقم که نسبت به سایر روش های 2FA از امنیت کمتری برخوردار است. اما اگر انگیزه آنها امنیت باشد، آیا نمی خواهند حساب های پولی را نیز ایمن نگه دارند؟ منطقی نیست که روش کمتر امن را فقط برای حساب‌های پولی مجاز کنیم.»

در حالی که این شرکت می‌گوید تغییرات دو عاملی در اواسط ماه مارس ارائه می‌شود، کاربران توییتر با فعال ، پیامک دو عاملی دیروز با یک صفحه نمایش همپوش، پاپ‌آپ مواجه شدند که به آنها توصیه می‌کرد که دو عامل را به طور کامل حذف کنند یا به « برنامه احراز هویت یا روش‌های کلید امنیتی.»

مشخص نیست اگر کاربران تا مهلت جدید پیامک دو مرحله ای را غیرفعال نکنند چه اتفاقی می افتد. پیام درون‌برنامه‌ای به کاربران به این م،ی است که افرادی که هنوز پیامک دو مرحله‌ای را فعال کرده‌اند، زم، که تغییر به‌طور رسمی در 20 مارس رخ می‌دهد، حساب‌هایشان قفل خواهند شد. در این اطلاعیه آمده است: «برای جلوگیری از از دست دادن دسترسی به توییتر، احراز هویت دو مرحله‌ای پیامک را تا 19 مارس 2023 حذف کنید. اما پست وبلاگ توییتر می گوید که اگر کاربران قبل از آن زمان آن را تنظیم نکنند، دو عامل به سادگی در 20 مارس غیرفعال می شود. این شرکت نوشت: «پس از 20 مارس 2023، دیگر به مش،ین آبی توییتر اجازه استفاده از پیام‌های متنی به ،وان روش 2FA را نخواهیم داد. «در آن زمان، حساب‌هایی که پیامک 2FA هنوز فعال است، آن را غیرفعال می‌کنند.»