מזונות חשובים
- פשע הסייבר נמצא במגמת עלייה כבר כמעט חצי עשור, כאשר התקפות דיוג היו בעייתיות במיוחד בשנה האחרונה.
- מאז 2016, טוויטר חוותה מספר התקפות סייבר בפרופיל גבוה, וכעת היא מציעה למשתמשים אפשרות של מפתחות אבטחה פיזיים.
- החברה טוענת שהשיטה היא אחת הדרכים החזקות ביותר לאבטח חשבון.
אחרי כמעט חצי עשור של עלייה בפשעי סייבר ושנה ספוג בהפרות בעלות פרופיל גבוה, טוויטר מציעה תכונת אבטחה חדשה שיכולה לעזור להפחית את הסיכון של התקפות ממוקדות על חשבונות משתמשים.
לפי פוסט בבלוג שפורסם ב-30 ביוני, ענקית המדיה החברתית מציעה כעת למשתמשים את האפשרות להפוך את מפתחות האבטחה הפיזיים לשיטה היחידה שלהם לאימות דו-גורמי (2FA) - מהלך שיכול לעזור להפוך את החשבונות ליותר גדולים מאובטח תוך ביטול הדרישה הקודמת לשיטות גיבוי חלשות יותר.
עם זאת, מומחים מזהירים שכל שיטה של 2FA מגיעה עם פשרות.
"הבעיה היא שאף אחת משיטות האימות הללו אינן באמת מוחלטות כפי שאנשים חושבים שהם", אמר ג'וזף שטיינברג, מומחה לאבטחת סייבר בן 25 שנה ומחברם של מספר ספרים, כולל Cybersecurity for Dummies, ל-Lifewire על ידי טלפון.
מפתחות אבטחה פיזיים, הסבר
לפי שטיינברג, ישנם מספר סוגים של אימות רב-גורמי - כל אחד עם היתרונות והחסרונות שלו.
מפתחות אבטחה פיזיים, כמו אלה שמציעים טוויטר, הם מכשירים קטנים שמשתמשים צריכים להתחבר פיזית למכשירים האישיים שלהם או לסנכרן איתם כדי להיכנס לחשבונות שלהם - בדומה למפתחות לרכב.זה מציע את היתרון של מניעת גישה מרחוק מהאקרים לחשבונות באמצעות התקפות דיוג או תוכנות זדוניות.
…לא סביר שמישהו יחליף עכשיו כשיש מנגנונים קלים יותר שנחשבים לטובים מספיק.
לפי הפוסט בבלוג של טוויטר, המפתחות "יכולים להבדיל בין אתרים לגיטימיים לאתרים זדוניים ולחסום ניסיונות דיוג ש-SMS או קודי אימות לא היו."
באופן תיאורטי, המפתחות מציעים את פתרון האבטחה החזק ביותר למשתמשים - אבל הם גם אחד הפתרונות הפחות נוחים למשתמשים יומיומיים.
"החיסרון הגדול הוא שכעת אתה צריך לשאת את המפתח בנוסף לטלפון שלך", הסביר שטיינברג. "אז אם אתה רוצה לצייץ מחוף הים, אתה נושא את הטלפון שלך ואת מפתח האבטחה."
שטיינברג גם הזהיר שמפתחות אבטחה פיזיים טומנים בחובם סיכון לאובדן, מה שעלול לגרום לנעילה של משתמש מחוץ לחשבון שלו.
Balancing the Tradeoffs
שיטות אימות פחות מאובטחות, כמו שליחת קוד כניסה לטלפון הסלולרי שלך, לרוב נוחות יותר למשתמשים מאשר מפתחות אבטחה פיזיים - אבל הן עלולות לשאת בסיכון גבוה יותר.
שטיינברג אמר שהאקרים יכולים ליירט קודי SMS באמצעות שיטות כמו החלפת SIM, שבהן גנבים גונבים מספר טלפון של משתמש ומקבלים את הקודים במכשיר שלהם.
"אם אתה מסתמך על הודעות טקסט ומישהו איכשהו גונב את מספר הטלפון שלך ומתחיל לקבל את הודעות הטקסט שלך, יש לך בעיה כי הוא הולך לקבל את הקודים שלך והם הולכים לקבל מסוגל לאפס את הסיסמאות שלך", אמר שטיינברג.
אפליקציות Authenticator שמייצרות קוד כניסה חד פעמי הן שיטה פופולרית נוספת של 2FA, אך עדיין יש בהן סיכון של האקרים לגשת אליהן.
"אם משתמש נכנס לאתר דיוג והוא מזין את הקוד הזה, אז יש לדיוג את הקוד הזה והוא יכול להעביר אותו לאתר האמיתי מיד", הסביר שטיינברג והוסיף כי קיים גם סיכון לאובדן הטלפון ולכן מאבד גישה לאפליקציה.
אפילו שיטות מורכבות יותר, כמו אימות ביומטרי של טביעת אצבע, יכולות לשאת סיכונים.
"טביעות האצבעות שלך נמצאות בכל הטלפון מהנגיעה בה", אמר שטיינברג, והסביר שגנבים מתוחכמים יכולים להרים את הטביעות שלך ולהשתמש בהן כדי להיכנס למכשיר. "לחיישן טביעת האצבע אין דרך לקבוע אם מדובר באדם ששם את האצבע שלו שם, לעומת מישהו ששם תמונה של טביעת אצבע שהוסרה מהטלפון."
שקלול היתרונות
בשל אי הנוחות של נשיאת מפתח אבטחה פיזי נוסף, שטיינברג אמר שהוא לא רואה את רוב המשתמשים היומיומיים שעושים את המעבר מוצע על ידי Twitter.
הבעיה היא שאף אחת משיטות האימות האלה לא באמת מוחלטות כמו שאנשים חושבים שהם.
"הניסיון שלי היה שאפילו דברים שמהווים טרחה קטנה כשמדובר באבטחה - אלא אם מישהו נפרץ וסבל מהשלכות חמורות - אין זה סביר שמישהו יחליף כעת כשיש מנגנונים קלים יותר נחשב לטוב מספיק", אמר שטיינברג.
עם זאת, שטיינברג אמר שקבוצות ספציפיות של משתמשים, כמו עסקים ואנשים בעלי פרופיל גבוה, יכולות להפיק תועלת ממפתחות אבטחה פיזיים.
למרות שאין פתרון מושלם לאבטחת חשבון המדיה החברתית של משתמש, שטיינברג הדגיש שכל צורה של אימות רב-גורמי עדיפה על אף אחת מהן, בשל העובדה שלעתים קרובות משתמשים בחשבונות חברתיים כדי להיכנס לחשבונות מחוברים אחרים. פלטפורמות.
"אם אתה לא משתמש היום באימות דו-גורמי עבור חשבונות המדיה החברתית שלך, הפעל אותו", אמר שטיינברג.
