» Twitter wyłącza kody 2FA przez SMS-y. Powodem są nieuczciwi operatorzy, którzy go okradali — Niebezpiecznik.pl —
W weekend przez Twittera przetoczyła się fala hejtu, bo niektórzy użytkownicy (ci, którzy korzystają z najsłabszej formy 2FA, czyli dwuskładnikowego uwierzytelnienia) zobaczyli taki komunikat:
Wiele osób nie do końca poprawnie rozumie, co z tej zmiany wynika. Zanim jednak go wytłumaczmy — jeśli jesteście stałymi Czytelnikami Niebezpiecznika i widzieliście ten komunikat u siebie na koncie, to JESTEŚMY WAMI ROZCZAROWANI! Dlaczego, na zgubioną kulkę od myszki, dlaczego korzystacie z najsłabszej możliwej formy dwuskładnikowego uwierzytelnienia? Gdzie Wasz RIGCZ? A teraz wróćmy do meritum:
-
1. Jeśli korzystasz z najsłabszej formy dwuskładnikowego uwierzytelnienia albo będziesz musiał zapłacić Twitterowi, żeby dalej z niej korzystać albo “stracisz dostęp do platformy”.
2. Zmiana nie oznacza, że za dwuskładnikowe uwierzytelnienie trzeba będzie od teraz płacić. Za darmo i dla każdego dalej dostępne będą bezpieczniejsze warianty dwuskładnikowego uwierzytelnienia: przez aplikację (np. Google Authenticator) lub przy pomocy kluczy U2F.
3. Nie jest do końca jasne, co się stanie 19 marca 2023. Czy osoby, które nie zmienią dwuskładnikowego uwierzytelnienia z kodów SMS na inny rodzaj (tj. apkę lub klucz U2F) stracą dostęp do swoich kont czy po prostu Twitter “po cichu” usunie im całkowicie “drugi składnik”.
Czy ludzie stracą dostęp do kont?
Aktualnie, ci którzy chcą odpiąć 2FA przez SMS są proszeni o dodanie aplikacji. Więc “flow”, w który wpada użytkownik dotknięty tą zmianą, jest dla niego korzystny. Wymusza na nim bezpieczniejszą formę dwuskładnikowego uwierzytelnienia.
Jeśli Twitter nie będzie po cichu wyłączał 19 marca dwuskładnikowego uwierzytelnienia użytkownikom (a np. blokował konto do momentu ustawienia aplikacji) to wprowadzona powinna pozytywnie wpłynąć na tę niewielką społeczność użytkowników Twittera korzystającą z 2FA, popychając ich do stosowania bezpieczniejszej formy dwuskładnikowego uwierzytelnienia.
Dlaczego Twitter usuwa kody 2FA via SMS
Powodem nie jest troska o bezpieczeństwo użytkowników, bo Twitter nie wyłącza przecież obsługi tych kodów, a zostawia ją tylko tym, którzy będą mu płacić. Powodem nie jest też sugerowany przez niektórych rachunek, który za wysyłkę takich SMS-ów użytkownikom korzystającym z 2FA zobaczył Elon Musk.
Wedle Elona Muska, zmiana podyktowana jest działaniami 390 operatorów telekomunikacyjnych (czasem wirtualnych), którzy celowo zakładali konta na Twitterze, konfigurowali na nich 2FA przez SMS na numery telefonów ze swojej puli i sztucznie wymuszali ich wysyłkę, na czym zarabiali (a Twitter tracił) aż 60 milionów dolarów rocznie.
Tu przypomnijmy, że operatorzy telekomunikacyjni rozliczają się między sobą tak, że to ten z operatorów, na numery którego terminowane jest połaczenie (lub SMS) wystawia rachunek wysyłającemu. Jeśli więc ktoś zmusił Twittera (non stop logując się i wylogowując) do wysyłki tysięcy SMS-ów, to potem za te tysiące SMS-ów od Twittera (a raczej operatora obsługującego Twittera) dostaje pieniądze. Ale to Twitter za to płaci.
Co robić, jak żyć?
Masz Twittera? Włącz dwuskładnikowe uwierzytelnienie jako aplikację (polecamy Google Authenticator) albo jako klucz U2F. Klucz to najbezpieczniejsza forma, ale trzeba na niego jednorazowo wydać ~150 PLN. Naszym zdaniem warto (tu wyjaśniamy dlaczego i do czego jeszcze taki klucz można wykorzystać)
Aplikacja jest bezpieczniejsza od kodów SMS-owych, bo nie jest podatna na ataki SIM swapingu. Uczciwie trzeba jednak przyznać, że te ataki stosowane są raczej przeciwko tzw. HVT (high value targets) a nie przeciwko byle kowalskiemu. Wymagają zachodu, są kosztowne i ryzykowne. W dodatku, przechodząc na aplikację trzeba pamiętać o tym, aby wybrać aplikację, która umożliwia wykonanie kopii bezpieczeństwa tzw. “seedów”, przy pomocy których generowane są zmieniające się w czasie kody OTP, czyli drugi składnik o który proszą serwisy. Bez kopii bezpieczeństwa, strata telefonu z aplikacją do drugiego składnika może być problemem.
Przeczytaj także:
