Tärkeimmät oppimispisteet
- Kyberrikollisuus on ollut kasvussa lähes puoli vuosikymmentä, ja tietojenkalasteluhyökkäykset ovat olleet erityisen ongelmallisia viimeisen vuoden aikana.
- Twitter on nähnyt useita korkean profiilin kyberhyökkäyksiä vuodesta 2016 lähtien ja tarjoaa nyt käyttäjille mahdollisuuden käyttää fyysisiä suojausavaimia.
- Yhtiö väittää, että menetelmä on yksi vahvimmista tavoista suojata tili.
Lähes puolen vuosikymmenen ajan lisääntyneen kyberrikollisuuden ja vuoden laajamittaisten tietomurtojen runteleman jälkeen Twitter tarjoaa uuden suojausominaisuuden, joka voi auttaa vähentämään kohdennettujen hyökkäysten riskiä käyttäjätilejä vastaan. Mukaan blogikirjoitus, joka julkaistiin 30. kesäkuuta, sosiaalisen median jättiläinen tarjoaa nyt käyttäjille mahdollisuuden tehdä fyysisistä suojausavaimista ainoa kaksivaiheinen todennus (2FA) – toimenpide, joka voi auttaa tekemään tileistä turvallisempia ja poistamaan aiemman vaatimuksen heikompia varmuuskopiointimenetelmiä varten. Silti asiantuntijat varoittavat, että kaikkiin 2FA-menetelmiin liittyy kompromisseja. «Ongelma on, ettei mikään näistä [authentication methods] ovat todella niin ehdottomia kuin ihmiset luulevat olevansa», Joseph Steinberg, 25-vuotias kyberturvallisuusasiantuntija ja useiden kirjojen kirjoittaja, mukaan lukien: Cyber Security Dummiesillekertoi Lifewirelle puhelimitse.
Fyysiset suoja-avaimet, selitetty
Steinbergin mukaan monitekijätodennusta on erilaisia, ja jokaisella on omat etunsa ja puutteensa. Fyysiset suojausavaimet, kuten Twitterin tarjoamat, ovat pieniä laitteita, jotka käyttäjien on fyysisesti yhdistettävä tai synkronoitava henkilökohtaisiin laitteisiinsa kirjautuakseen tililleen, aivan kuten auton avaimet. Tämän etuna on se, että hakkerit eivät pääse käsiksi etätileille tietojenkalasteluhyökkäysten tai haittaohjelmien kautta. …On epätodennäköistä, että kukaan vaihtaisi nyt, jos on olemassa yksinkertaisempia mekanismeja, joita pidetään riittävän hyvinä. Twitterin blogiviestin mukaan avaimet voivat «erottaa lailliset sivustot haitallisista ja estää tietojenkalasteluyritykset, joita tekstiviestit tai vahvistuskoodit eivät pystyisi». Teoriassa avaimet tarjoavat vahvimman tietoturvaratkaisun käyttäjille, mutta ne ovat myös yksi vähiten hyödyllisistä ratkaisuista tavallisille käyttäjille. «Suuri haittapuoli on, että avain on nyt pidettävä mukana puhelimen lisäksi», Steinberg selittää. «Joten jos haluat twiitata rannalta, pidä puhelin ja turva-avain mukaasi.» Steinberg varoitti myös, että fyysiset suojausavaimet sisältävät vaaran kadota, mikä voi johtaa siihen, että käyttäjältä evätään pääsy omalle tililleen.
Tehdä kompromisseja
Vähemmän turvalliset todennustavat, kuten matkapuhelimeen tekstiviestillä lähetettävä kirjautumiskoodi, ovat usein käyttäjille fyysisiä suojausavaimia kätevämpiä, mutta niihin voi liittyä suurempi riski. Steinberg sanoi, että hakkerit voivat siepata tekstiviestikoodeja menetelmillä, kuten SIM-vaihdoilla, joissa varkaat varastavat käyttäjän puhelinnumeron ja saavat koodit omalle laitteelleen. «Jos luotat tekstiviesteihin ja joku jollakin tavalla varastaa puhelinnumerosi ja alkaa vastaanottaa tekstiviestejäsi, sinulla on ongelma, koska he saavat koodisi ja voivat nollata salasanasi», Steinberg sanoi.
Kertaluonteisen kirjautumiskoodin luovat Authenticator-sovellukset ovat toinen suosittu 2FA-menetelmä, mutta ne ovat silti vaarassa joutua hakkereiden käsiksi. «Jos käyttäjä kirjautuu phishing-sivustolle ja syöttää kyseisen koodin, tietojenkalastelijalla on koodi ja hän voi lähettää sen välittömästi oikealle sivustolle», Steinberg selittää ja lisää, että on olemassa myös riski puhelimen kadottamisesta ja siten pääsyn menettämisestä. sovellus. Monimutkaisemmillakin menetelmillä, kuten sormenjälkien biometrisellä todennuksella, voi olla riskejä. «Sormenjälkesi ovat kaikkialla puhelimessa, jos et koske siihen», Steinberg sanoi ja selitti, että kehittyneet varkaat voivat poimia tulostesi ja kirjautua niillä laitteeseen. «Sormenjälkitunnistimella ei ole mitään keinoa määrittää, onko kyseessä todellinen ihminen, joka laittaa sormensa siihen, vai joku julkaisee kuvan puhelimesta otetusta sormenjäljestä.»
Hyötyjen punnitseminen
Ylimääräisen fyysisen suojausavaimen mukanaan tuomisesta aiheutuvan haitan vuoksi Steinberg sanoi, että hän ei näe useimpien päivittäisten käyttäjien tarjoavan kytkintä Twitterin kautta. Ongelmana on, ettei mikään näistä [authentication methods] ovat todella niin ehdottomia kuin ihmiset luulevat olevansa. «Kokemukseni on, että edes asiat, jotka ovat turvallisuuden kannalta pieniä ongelmia – ellei joku ole joutunut rikokseen ja kärsinyt vakavista seurauksista – kukaan ei todennäköisesti vaihtaisi nyt, kun on olemassa yksinkertaisempia mekanismeja, joita pidetään riittävän hyvinä», hän sanoi. Steinberg kuitenkin sanoi, että tietyt käyttäjäryhmät, kuten yritykset ja korkean profiilin henkilöt, voivat hyötyä fyysisistä suojausavaimista.Vaikka ei ole olemassa täydellistä ratkaisua käyttäjän sosiaalisen median tilin suojaamiseen, Steinberg korosti, että kaikenlainen monitekijätodennus on on parempi kuin ei mitään, koska sosiaalisia tilejä käytetään usein kirjautumiseen muille yhdistetyille tileille eri alustoilla. «Jos et käytä sosiaalisen median tileillesi tänään kaksivaiheista todennusta, ota se käyttöön», Steinberg sanoi.