Twitter wyłączył uwierzytelnianie dwuskładnikowe przez SMS. Radzimy co zrobić

Twitter pod wodzą Elona Muska wyłączył możliwość korzystania z uwierzytelniania wieloskładnikowego przez kody SMS osobom, które nie mają wykupionego abonamentu na usługę Twitter Blue ( płatna wersja popularnej platformy, o której pisaliśmy tutaj ).

Nie uprzedził o tym użytkowników – po prostu zakomunikował im to przy logowaniu do aplikacji / wersji webowej serwisu. To po pierwsze bardzo nieuczciwe, a po drugie – bardzo nieodpowiedzialne podejście, nawet, jeśli chce się zarabiać na bezpieczeństwie własnej usługi. Dlaczego?

Lekceważenie użytkowników

Metoda uwierzytelniania wieloskładnikowego, w której korzystamy z kodów SMS, to – nie ukrywajmy – najpopularniejsza, bo najłatwiejsza w użyciu metoda dodatkowego zabezpieczenia dostępu do swojego konta.

Wiele osób korzystających z Twittera – również tych, które powinny podlegać szczególnej ochronie ze względu na dane, które zawierają ich konta, takich jak politycy, dziennikarze czy aktywiści np. działający na rzecz ochrony praw człowieka, to osoby nieposiadające wysokich kwalifikacji technicznych, a często... nawet żadnych. Użycie kodów SMS to zatem wyjście naprzeciw ich potrzebom i umożliwienie im dodania do swojego profilu dodatkowej warstwy ochrony, która może zapobiec próbom m.in. przechwycenia danych do logowania z aplikacji i dostępu do wiadomości prywatnych (gdzie znajdują się informacje, które powinny pozostać poufne).

Odebranie przez Muska uwierzytelniania z wykorzystaniem kodów SMS to zatem lekceważenie ogromnej grupy użytkowników, którzy naprawdę potrzebują czuć się bezpiecznie na jego platformie. Twitter jest ostatecznie nadal ulubionym narzędziem komunikacji dla wielu znanych osób publicznych, a warto w tym momencie wspomnieć, że bycie osobą publiczną niekoniecznie wiąże się z wysokimi zarobkami (choć to właśnie taki stereotyp panuje w Polsce np. w odniesieniu do znanych dziennikarzy). Nie każdy również zarabia w dolarach, a koszt 8,99 dol. miesięcznie za Twitter Blue to jednak spory wydatek, szczególnie w dobie globalnej inflacji.

Jak Twitter argumentuje swoją decyzję?

Z tweeta zamieszczonego przez Elona Muska wynika, że oficjalnym wytłumaczeniem dezaktywacji uwierzytelniania wieloskładnikowego opartego o SMS dla wszystkich, ma być bezpieczeństwo.

Musk wskazuje, że platforma traci 60 mln rocznie na nieuczciwości ze strony operatorów telekomunikacyjnych zawyżających koszty.

Kolejnym problemem są SMS-y podszywające się pod te zawierające kod uwierzytelniający. To popularne oszustwo, które wiąże się ze zjawiskiem SIM-swappingu, polegającego na przejęciu kontroli nad numerem telefonu ofiary przez hakerów i oszukaniem operatora tak, by SMS-y kierowane były na numer kontrolowany przez cyberprzestępców.

Co zrobić, jeśli wyłączono mi uwierzytelnianie?

Skoro już pogodziliśmy się z faktem, że na wyłączenie uwierzytelniania wieloskładnikowego w oparciu o SMS-y mamy od otrzymania komunikatu z Twittera równo 30 dni, to warto w tym czasie przemyśleć, jak podejść do sprawy.

Jeśli nie chcemy subskrybować usługi Twitter Blue, będziemy musieli skorzystać z innych metod zwiększania własnego bezpieczeństwa przez uwierzytelnianie wieloskładnikowe. Na Twitterze to fizyczny klucz bezpieczeństwa, albo aplikacja uwierzytelniająca.

Obie te opcje są bezpieczniejsze, niż korzystanie z kodów uwierzytelniających SMS (nadal niezrozumiałe pozostaje, dlaczego użytkownicy płatnej wersji mają w takim razie dopłacać za coś gorszego), jednak są nieco trudniejsze w obsłudze dla osób, które do tej pory nie interesowały się szczególnie tego rodzaju kwestiami.

Fizyczne klucze uwierzytelniające, takie jak np. Yubikey czy Google Titan można łatwo skonfigurować – łączą się za pomocą Bluetooth, NFC lub portu USB i są potrzebne za każdym razem, kiedy chcemy zalogować się na dane konto. Minus? Trzeba posiadać je zawsze przy sobie, gdy będziemy chcieli skorzystać z zabezpieczonej nimi usługi. Jeśli zapomnieliśmy klucza – nie zalogujemy się na Twittera, dopóki nie uzyskamy do niego dostępu.

Aplikacje uwierzytelniające, takie jak Google Authenticator czy Microsoft Authenticator, są z kolei prostsze w obsłudze, ale narażamy się wówczas na ryzyko utraty aparatu telefonicznego z zainstalowaną aplikacją, co pozwala na uzyskanie przez złodzieja dostępu do wszystkich naszych zabezpieczonych aplikacją kont (o ile odblokuje telefon).

Utrata telefonu w takim wypadku sprawi również, że po prostu nie zalogujemy się na chronione w ten sposób konta w usługach cyfrowych.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].