فهرست
  1. صفحه نخست
  2. مقالات بلاگ

تغییر احراز هویت دو مرحله‌ای توییتر «معنی ندارد»

تاریخ انتشار 30 بهمن 1401
دسته بندی

twitter two factor authentication

توییتر دیروز اعلام کرد که از 20 مارس، تنها در صورت پرداخت هزینه اشتراک توییتر آبی، به کاربران خود اجازه می دهد تا حساب های خود را با احراز هویت دو مرحله ای مبتنی بر پیامک ایمن کنند.
احراز هویت دو مرحله ای یا 2FA از کاربران می خواهد که با نام کاربری و رمز عبور و سپس یک “عامل” اضافی مانند یک کد عددی وارد شوند. کارشناسان امنیتی مدت‌هاست که توصیه می‌کنند مردم از یک برنامه ژنراتور برای دریافت این کدها استفاده کنند. اما دریافت آن‌ها در پیام‌های متنی اس ام اس یک جایگزین محبوب است، بنابراین حذف آن گزینه برای کاربران بدون حقوق، باعث شده است کارشناسان امنیتی سر خود را بخارند
حرکت دو عاملی توییتر آخرین مورد از یک سری تغییرات سیاست بحث برانگیز از زمانی است که ایلان ماسک این شرکت را در سال گذشته تصاحب کرد. سرویس پولی Twitter Blue – اکنون تنها راه برای دریافت علامت تأیید شده آبی در حساب‌های توییتر – 11 دلار در ماه در Android و iOS هزینه دارد و برای اشتراک فقط دسکتاپ کمتر است. کاربرانی که از احراز هویت دو مرحله‌ای مبتنی بر پیامک بوت می‌شوند، این گزینه را خواهند داشت که به یک برنامه احراز هویت یا یک کلید امنیتی فیزیکی سوئیچ کنند.
توییتر در یک پست وبلاگی که عصر جمعه منتشر شد، نوشت: «در حالی که از لحاظ تاریخی شکل محبوب 2FA بود، متأسفانه شاهد استفاده از 2FA مبتنی بر شماره تلفن – و سوء استفاده- توسط بازیگران بد بودیم. بنابراین از امروز، دیگر به حساب‌ها اجازه نمی‌دهیم در روش پیامک/اس ام اس 2FA ثبت نام کنند، مگر اینکه مشترک توییتر آبی باشند.
توییتر در گزارشی در جولای 2022 درباره امنیت حساب کاربری اعلام کرد که تنها 2.6 درصد از کاربران فعالش هر نوع احراز هویت دو مرحله‌ای را فعال کرده‌اند. از این کاربران، نزدیک به 75 درصد از نسخه اس ام اس استفاده می کردند. تقریباً 29 درصد از برنامه های احراز هویت استفاده می کردند و کمتر از 1 درصد یک کلید احراز هویت فیزیکی اضافه کرده بودند.
احراز هویت دو مرحله ای مبتنی بر پیامک ناامن است زیرا مهاجمان می توانند شماره تلفن اهداف را ربوده یا از تکنیک های دیگر برای رهگیری متون استفاده کنند. اما کارشناسان امنیتی مدت‌ها تاکید کرده‌اند که استفاده از پیامک دو مرحله‌ای به طور قابل‌توجهی بهتر از فعال نبودن فاکتور احراز هویت دوم است.
به طور فزاینده‌ای، غول‌های فناوری مانند اپل و گوگل این گزینه را برای کاربران دو مرحله‌ای و انتقال پیامک (معمولاً طی ماه‌ها یا سال‌ها) به سایر اشکال احراز هویت حذف کرده‌اند. محققان نگران این هستند که تغییر خط مشی توییتر با دادن زمان بسیار کمی برای تکمیل انتقال و ایجاد پیامک دوعاملی مانند یک ویژگی ممتاز، باعث گیج شدن کاربران شود.
«وبلاگ توییتر به درستی اشاره می کند که احراز هویت دو مرحله ای که از پیام های متنی استفاده می کند اغلب توسط بازیگران بد سوء استفاده می شود. لوری کرانور، مدیر آزمایشگاه حریم خصوصی و امنیت قابل استفاده Carnegie Mellon می گوید: من موافقم که نسبت به سایر روش های 2FA ایمن تر است. اما اگر انگیزه آنها امنیت باشد، آیا نمی خواهند حساب های پولی را نیز ایمن نگه دارند؟ منطقی نیست که روش کمتر امن را فقط برای حساب‌های پولی مجاز کنیم.»
در حالی که این شرکت می‌گوید تغییرات دو عاملی در اواسط ماه مارس ارائه می‌شود، کاربران توییتر با فعال کردن پیامک دو عاملی در روز جمعه با یک صفحه نمایش همپوشانی پاپ‌آپ مواجه شدند که به آنها توصیه می‌کرد که دو عامل را به طور کامل حذف کنند یا به آن تغییر دهند. برنامه احراز هویت یا روش‌های کلید امنیتی».
مشخص نیست اگر کاربران تا مهلت جدید پیامک دو مرحله ای را غیرفعال نکنند چه اتفاقی می افتد. پیام درون‌برنامه‌ای به کاربران به این معنی است که افرادی که هنوز پیامک دو مرحله‌ای را فعال کرده‌اند، زمانی که تغییر به‌طور رسمی در ۲۰ مارس رخ می‌دهد، حساب‌هایشان قفل می‌شوند. در این اطلاعیه آمده است: «برای جلوگیری از از دست دادن دسترسی به توییتر، احراز هویت دو مرحله‌ای پیام متنی را تا 19 مارس 2023 حذف کنید. اما پست وبلاگ توییتر می گوید که اگر کاربران تا قبل از آن زمان آن را تنظیم نکنند، دو عامل به سادگی در 20 مارس غیرفعال خواهد شد. این شرکت نوشت: «پس از 20 مارس 2023، ما دیگر به مشترکین آبی توییتر اجازه نمی‌دهیم از پیام‌های متنی به عنوان روش 2FA استفاده کنند. «در آن زمان، حساب‌هایی که پیامک 2FA هنوز فعال است، آن را غیرفعال می‌کنند.»
توییتر درخواستی برای اظهار نظر درباره اینکه چه اتفاقی برای حساب‌هایی می‌افتد که هنوز پیامک دو مرحله‌ای را در 20 مارس فعال می‌کنند، نشان نداد. این شرکت همچنین به سؤالاتی درباره احتمال اینکه تغییر سیاست منجر به از دست دادن قابل توجه پذیرش دو عاملی در پلت فرم شود، پاسخ نداد.
در ظاهر، به نظر می رسد که این میزان نگرانی برای ایمنی کاربران است، اما اگر برای Twitter Blue هزینه می کنید – و بنابراین، مشتری هستید که در مورد استفاده از توییتر شما جدی است و توییتر باید بیشترین اهمیت را به او بدهد، می توانید به استفاده از روش کمتر امن احراز هویت ادامه دهید. متعجب؟” جیم فنتون، مشاور مستقل حریم خصوصی و امنیت هویت می گوید” اگر مشترک توییتر آبی نیستید، و آنها شما را به احراز هویت مبتنی بر رمز عبور تنزل می دهند، اکنون آنها به طور کامل از چیزی استفاده کرده اند که ظاهراً امنیت کاربران را بهبود می بخشد و دقیقاً برعکس عمل کرده اند.”
عصر جمعه، حساب توییتر “Twitter Takeover News” نظرات این شرکت را در مورد سوء استفاده کلاهبرداران مبنی بر شماره تلفن 2FA منعکس کرد. این حساب توییتر نوشت: «تویتر سیاست‌های خود را در رابطه با 2FA مبتنی بر پیامک تغییر داد، زیرا Telcos از حساب‌های ربات برای ارسال پیامک 2FA استفاده می‌کرد. آنها 60 میلیون دلار در سال از طریق پیامک های کلاهبرداری از دست می دادند. کمی بعد، حساب توییتر ایلان ماسک پاسخ داد: «بله».
ماسک مدت‌هاست که می‌گوید در جنگ علیه ربات‌های توییتر است، اما برای مقابله با جدا کردن ربات‌های قانونی از مخرب‌ها تلاش کرده است. در همین حال، سازوکار دو عاملی پیام کوتاه توییتر در اواسط نوامبر در میان هرج و مرج داخل شرکت در روزهای اولیه رهبری ماسک، قطعی و مشکلات قابل اعتماد داشت.
فنتون می‌گوید حذف پیامک دوعاملی ممکن است هزینه‌های توییتر را با عدم الزام توییتر به پرداخت کسری از یک سنت برای ارسال آن پیام‌های SMS به برخی از ارائه‌دهندگان مخابراتی کاهش دهد. اما او اضافه می کند که صرفه جویی در هزینه احتمالاً بسیار جزئی خواهد بود.
فنتون همچنین خاطرنشان می‌کند که اگر توییتر از مکانیزم احراز هویت جدید موسوم به “passkeys” که غول‌های فناوری به طور فزاینده‌ای به عنوان راهی برای کاهش اتکای کاربر به رمز عبور استفاده می‌کنند، اعلام کند، این حرکت منطقی‌تر خواهد بود. فنتون می‌گوید: «تویتر اساساً می‌گوید که آنها در حال جایگزینی روش احراز هویت جدیدی هستند که نیازی به خرید کلید امنیتی سخت‌افزاری نیز ندارد. اما استثنای آبی توییتر هنوز منطقی نیست.

همانطور که شرایط پیش می‌رود، سوال بزرگ این است که آیا هر یک از این موارد منجر به امنیت قوی‌تر برای حساب‌های کاربران توییتر می‌شود؟
کرنور کارنگی ملون می‌گوید: «فکر نمی‌کنم ما واقعاً بدانیم که آیا این باعث می‌شود که مردم به پیش بروند و یک برنامه احراز هویت را دریافت کنند یا اینکه بسیاری از مردم از 2FA صرفنظر می‌کنند. “به طور کلی، احراز هویت دو مرحله ای به طور گسترده توسط کاربران پذیرفته نمی شود، مگر اینکه آنها مجبور به استفاده از آن شوند. من فکر می‌کنم بسیاری از شرکت‌های دیگر تماشا خواهند کرد تا ببینند که آیا عدم اجازه دادن به پیام متنی 2FA ایده خوبی است یا خیر.
اینکه آیا توییتر در مورد تأثیرات این تغییرات شفاف خواهد بود و آمارهای به روز شده را منتشر خواهد کرد، کاملاً یک سؤال دیگر است.

منبع

مطالب مرتبط
دیجیتال مارکتینگ Digital Marketing
محاسبه تعرفه خدمات سئو seo
کلیوکیشن Colocation
ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

نیاز به مشاوره با متخصص دارید؟

همین حالا تماس بگیرید
۹۱۰۹۰۳۸۸031
logo-samandehi
سازمان نظام صنفی رایانه ای کشور

درباره ما

گروه فنی مهندسی آرتاپرداز سپاهان فعالیت خود را از سال ۱۳۸۶ در زمینه اتوماسیون اداری و طراحی وب آغاز نموده و با هدف افزایش رضایت مشتریان دایره خدمات خود را جهت پوشش کامل نیاز مشتریان، جهت دریافت خدمات با کیفیت توام با پشتیبانی حرفه ای کامل نموده است.

اطلاعات تماس

آدرس:اصفهان خیابان فردوسی بن بست ۲۳ ساختمان میخک واحد ۱۱​
تلفن: ۰۳۱۹۱۰۹۰۳۸۸
ساعات کاری:۸:۳۰ الی ۱۷ و پنج شنبه ها ۱۳
زیلینک | گوگل

کلیه حقوق مادی و معنوی برای سایت آرتاپرداز محفوظ می باشد.