Ключевые выводы
- Киберпреступность росла почти полвека, а фишинговые атаки стали особенно проблематичными в прошлом году.
- С 2016 года Twitter пережил несколько громких кибератак и теперь предлагает пользователям возможность физических ключей безопасности.
- Компания утверждает, что этот метод является одним из самых надежных способов защитить учетную запись.
После почти полувека роста киберпреступности и года, омраченного громкими взломами, Twitter предлагает новую функцию безопасности, которая может помочь снизить риск целенаправленных атак на учетные записи пользователей.
Согласно сообщению в блоге, опубликованному 30 июня, гигант социальных сетей теперь предлагает пользователям возможность сделать физические ключи безопасности единственным методом двухфакторной аутентификации (2FA). безопасным, устраняя предыдущее требование для более слабых методов резервного копирования.
Тем не менее, эксперты предупреждают, что каждый метод 2FA сопряжен с компромиссами.
«Проблема в том, что ни один из этих [методов аутентификации] на самом деле не настолько абсолютен, как думают люди», - сказал Lifewire Джозеф Стейнберг, 25-летний эксперт по кибербезопасности и автор нескольких книг, в том числе «Кибербезопасность для чайников». телефон.
Ключи физической безопасности, объяснение
По словам Стейнберга, существует несколько типов многофакторной аутентификации, каждый из которых имеет свои преимущества и недостатки.
Физические ключи безопасности, такие как те, которые предлагает Twitter, представляют собой небольшие устройства, которые пользователи должны физически подключать или синхронизировать со своими личными устройствами, чтобы войти в свои учетные записи - так же, как ключи от машины. Это позволяет предотвратить удаленный доступ хакеров к учетным записям с помощью фишинговых атак или вредоносных программ.
… Вряд ли кто-то перейдет сейчас, когда есть более простые механизмы, которые считаются достаточно хорошими.
Согласно сообщению в блоге Твиттера, ключи «могут отличить законные сайты от вредоносных и блокировать попытки фишинга, чего не удалось бы сделать с помощью SMS или кодов подтверждения».
Теоретически ключи представляют собой самое надежное решение для безопасности пользователей, но они также являются одним из наименее удобных решений для обычных пользователей.
"Главный недостаток заключается в том, что теперь вам нужно носить с собой ключ в дополнение к вашему телефону", - объяснил Стейнберг. «Так что, если вы хотите твитнуть с пляжа, у вас есть телефон и электронный ключ».
Стейнберг также предупредил, что физические ключи безопасности сопряжены с риском потери, что может привести к блокировке пользователем собственной учетной записи.
Уравновешивание компромиссов
Менее безопасные методы аутентификации, такие как отправка кода входа в систему на ваш мобильный телефон, часто более удобны для пользователей, чем физические ключи безопасности, но они могут нести более высокий риск.
Стейнберг сказал, что хакеры могут перехватывать SMS-коды с помощью таких методов, как замена SIM-карты, когда воры крадут номер телефона пользователя и получают коды на свое собственное устройство.
Если вы полагаетесь на текстовые сообщения, и кто-то каким-то образом крадет ваш номер телефона и начинает получать ваши текстовые сообщения, у вас есть проблема, потому что они получат ваши коды, и они будут может сбросить ваши пароли», - сказал Стейнберг.
Приложения для аутентификации, которые генерируют одноразовый код входа, являются еще одним популярным методом 2FA, но они по-прежнему несут риск доступа хакеров.
«Если пользователь заходит на фишинговый сайт и вводит этот код, у фишера есть этот код, и он может немедленно передать его на реальный сайт», - пояснил Стейнберг, добавив, что существует также риск потери телефон и, следовательно, потеря доступа к приложению.
Даже более сложные методы, такие как биометрическая аутентификация по отпечатку пальца, могут нести риски.
«Ваши отпечатки пальцев по всему телефону от прикосновения к нему», - сказал Стейнберг, объяснив, что изощренные воры могут снять ваши отпечатки и использовать их для входа в устройство. «Сенсор отпечатков пальцев не может определить, действительно ли человек прикладывает туда свой палец, а кто-то помещает изображение отпечатка пальца, снятого с телефона».
Взвешивание преимуществ
Из-за неудобства носить с собой дополнительный физический ключ безопасности, Стейнберг сказал, что не видит, чтобы большинство обычных пользователей переключились на Twitter.
Проблема в том, что ни один из этих [методов аутентификации] не является настолько абсолютным, как думают люди.
Мой опыт показывает, что даже то, что представляет собой небольшую проблему, когда речь идет о безопасности (если только кто-то не был взломан и не пострадал от серьезных последствий), маловероятно, что кто-то переключится сейчас, когда есть более простые механизмы, которые считается достаточно хорошим», - сказал Стейнберг.
Тем не менее, Стейнберг сказал, что определенные группы пользователей, такие как компании и высокопоставленные лица, могут извлечь выгоду из физических ключей безопасности.
Несмотря на то, что идеального решения для защиты учетной записи пользователя в социальной сети не существует, Стейнберг подчеркнул, что любая форма многофакторной аутентификации лучше, чем ничего, поскольку социальные учетные записи часто используются для входа в другие подключенные учетные записи через платформы.
«Если сегодня вы не используете двухфакторную аутентификацию для своих учетных записей в социальных сетях, включите ее», - сказал Стейнберг.
