הוספת שכבת אבטחה נוספת לחשבונות המקוונים שלך היא צעד בסיסי להגנה על החיים הדיגיטליים שלך מפני האקרים, אבל מה הטעם אם השיטות החדשות פגיעות בדיוק כמו הישנות?

זו שאלה שחלק ממשתמשי טוויטר שואלים לאחר שגילו שהאימות הדו-שלבי בחשבונות שלהם אינו מאובטח כפי שהוא נראה.

אבל בואו נגבה לשנייה. לא משנה מי אתה, פריצת הטוויטר שלך תהיה בלאגן גדול. עם זאת, במקרה של דמויות פוליטיות כמו דונלד טראמפ, חשבון שנחטף פירושו יותר מסתם כאב ראש - חשבו על ההרס שהצהרת מדיניות מזויפת עלולה להמיט?

ולכן היו חדשות מבורכותעוד ב-2013כאשר טוויטר התגלגלאימות דו-גורמי(2FA) לכל משתמשיה. שכבת אבטחה נוספת זו מאפשרת למשתמשים להגן על החשבונות שלהם, גם אם הסיסמאות שלהם נגנבו, על ידי דרישת אישור כניסה שני שנשלח בהודעת טקסט.

נהדר, נכון? טוב, קצת.

בעוד ש-2FA מבוסס SMS אכן מספק הגנה נוספת, יש עם זה בעיה גדולה. כלומר, ה-SMS עצמו אינו מאובטח. פגם במה שמכונה פרוטוקול Signaling System 7 (SS7) - משהו שמאפשר לספקי טלפון שונים לתקשר הלוך ושוב - פירושו שהאקרים יכולים להפנות טקסטים כמעט לכל מספר שהם רוצים.

זה אומר שקוד אימות ה-SMS שלך עשוי להישלח ישירות לטלפון הסלולרי של ההאקר שלך.

וזה לא רק תיאורטי. בינואר 2017,דוחותArs Technica, קבוצה של פושעים ניצלה את הפגם הזה כדי לחטוף את קודי האימות ב-SMS של קורבנות ולרוקן את חשבונות הבנק שלהם.

לכן, עם 2FA מבוסס טקסט שידוע שיש לו חור אבטחה כל כך גדול שאפשר לנהוג דרכו במשאית, טוויטר הציגה באופן מועיל דרכים נוספות להגדרת 2FA. משתמשים שכבר יש להם גישה לחשבונות שלהם דרך אפליקציית טוויטר לנייד יכולים להשתמש במשהו שנקרא aמחולל קוד כניסה, אבל מכיוון שזה מצריך כבר כניסה בנייד, זה לא עוזר אם יצאת מהחשבון.

השיטה השנייה, אפליקציית אימות של צד שלישי, מציעה אפשרות טובה יותר. האפליקציות האלה, כמוGoogle Authenticator, צור רצף מספרים בטלפון שלך כקוד האימות שלך - אין צורך בהודעת טקסט פגיעה.

הבעיה נפתרה, נכון?

לא כל כך מהר. כי זה העניין, אפילו עם אפליקציית אימות מופעלת בטוויטרעדיין שולח קודי אימות SMS. זה נכון, האנשים שעשו את הצעד הנוסף כדי לאבטח את חשבונות הטוויטר שלהם באמצעות אפליקציית אימות - ככל הנראה האנשים המודאגים ביותר מכך שהחשבונות שלהם יפרצו - עדיין פגיעים בדיוק כמו אלה המסתמכים על קודי אימות מבוססי SMS.

וזה לא נעלם מעיניו.

ייתכן שהציוץ נמחק

ייתכן שהציוץ נמחק

ייתכן שהציוץ נמחק

ייתכן שהציוץ נמחק

ייתכן שהציוץ נמחק

משתמשים תוהים בצדק מה הטעם להגדיר אפליקציית אימות של צד שלישי אם טוויטר עדיין שולחת הודעות טקסט עם הקודים.

טוויטר, מצדה, שומרת על שתיקה בעניין.

פנינו לחברה והחלפנו הודעות דוא"ל מרובות עם עובדים רבים שכולם סירבו באופן מוחלט להסביר אם יש דרך להשבית קודי אימות 2FA מבוססי SMS תוך שמירה על אפליקציית אימות של צד שלישי, כמו גם למה זה יהיה המקרה .

דובר אחד פשוט הגיב שלחברה "אין מה לשתף ב-2FA שלנו מעבר למה שנמצא במרכז העזרה שלנו". שיהיה ברור, מרכז העזרה אינו מטפל בבעיה זו.

מה לגבי מחיקת מספר הטלפון שלך מחשבון הטוויטר שלך? אז זה לא יכול לשלוח לך הודעות טקסט, נכון? קדימה, אבל אז לא תוכל יותר להשתמש באפליקציית המאמת של צד שלישי.

החברה, באמצעות דוברות, גם סירבה להגיב על ניצול ה-SS7 שהופך את ה-SMS פגיע להאקרים.

למה זה חשוב

עבור משתמש טוויטר ממוצע, קוד אימות מבוסס הודעת טקסט - למרות הפגמים שלו - הוא שכבת אבטחה נוספת נהדרת. עם זאת, כפי שהוכיחו הפושעים שרוקנו חשבונות בנק בינואר, האקר נחוש יכול לעקוף את אמצעי האבטחה הזה.

ואולי זה רק באג שמשפיע על חשבונות מסוימים של משתמשים, ולא על כל אחד ואחד ממשתמשי טוויטר עם אפליקציות 2FA של צד שלישי. סירובה של טוויטר לדון בנושא, לעומת זאת, אומר שאנחנו לא יודעים.

עבורך ואני, אולי זו לא תהיה עסקה כל כך גדולה בסופו של יום. לסלבריטאים, פוליטיקאים וחברי הארגוןעילית עמק הסיליקון? ובכן, זה עניין אחר - וזה עניין שטוויטר צריך לטפל בו במהירות.