Ключови изводи
- Киберпрестъпността нараства от почти половин десетилетие, като фишинг атаките бяха особено проблематични през последната година.
- От 2016 г. Twitter претърпя няколко кибератаки с голям профил и сега предлага на потребителите опцията за физически ключове за сигурност.
- Компанията твърди, че методът е един от най-силните начини за защита на акаунт.
След почти половин десетилетие на нарастваща киберпрестъпност и година, помрачена от високопоставени пробиви, Twitter предлага нова функция за сигурност, която може да помогне за намаляване на риска от целеви атаки срещу потребителски акаунти.
Според публикация в блог, публикувана на 30 юни, гигантът на социалните медии вече предлага на потребителите опцията да направят физическите ключове за сигурност техен единствен метод за двуфакторно удостоверяване (2FA) – ход, който може да помогне на акаунтите да станат повече защитен, като същевременно елиминира предишното изискване за по-слаби методи за архивиране.
Все пак експертите предупреждават, че всеки метод на 2FA идва с компромиси.
„Проблемът е, че нито един от тези [методи за удостоверяване] не е наистина толкова абсолютен, колкото хората си мислят, че е“, каза Джоузеф Щайнбърг, 25-годишен експерт по киберсигурност и автор на няколко книги, включително Cybersecurity for Dummies, пред Lifewire от телефон.
Физически ключове за сигурност, обяснение
Според Стайнбърг има няколко вида многофакторно удостоверяване - всяко със своите предимства и недостатъци.
Физическите ключове за сигурност, като тези, предлагани от Twitter, са малки устройства, които потребителите трябва физически да включат или синхронизират с личните си устройства, за да влязат в своите акаунти - подобно на ключовете за кола. Това предлага предимството да се предотврати отдалечен достъп на хакери до акаунти чрез фишинг атаки или зловреден софтуер.
…Малко вероятно е някой да смени сега, когато има по-лесни механизми, които се считат за достатъчно добри.
Според публикацията в блога на Twitter, ключовете "могат да разграничат легитимните сайтове от злонамерените и да блокират опити за фишинг, които SMS или кодове за потвърждение не биха направили."
Теоретично, ключовете предлагат най-силното решение за сигурност за потребителите, но те са и едно от най-неудобните решения за ежедневните потребители.
"Основният недостатък е, че сега трябва да носите ключа в допълнение към телефона си", обясни Стайнбърг. „Така че, ако искате да чуруликате от плажа, вие носите телефона си и ключа за сигурност.“
Щайнберг също предупреди, че физическите ключове за сигурност носят риск от загуба, което може да доведе до блокиране на потребител от собствения му акаунт.
Балансиране на компромисите
По-малко сигурните методи за удостоверяване, като изпращането на код за влизане в текстово съобщение на мобилния ви телефон, често са по-удобни за потребителите от физическите ключове за сигурност, но могат да носят по-висок риск.
Щайнберг каза, че хакерите могат да прихващат SMS кодове чрез методи като размяна на SIM карти, при които крадците крадат телефонния номер на потребител и получават кодовете на собственото си устройство.
"Ако разчитате на текстови съобщения и някой по някакъв начин открадне телефонния ви номер и започне да получава вашите текстови съобщения, вие имате проблем, защото той ще получи вашите кодове и ще бъде можете да нулирате вашите пароли, " каза Стайнбърг.
Приложенията за удостоверяване, които генерират еднократен код за влизане, са друг популярен метод за 2FA, но те все още носят риск от достъп от хакери.
"Ако потребител влезе в сайт за фишинг и въведе този код, фишърът разполага с този код и може незабавно да го предаде на истинския сайт", обясни Стайнбърг, добавяйки, че има и риск от загуба телефона и следователно загуба на достъп до приложението.
Дори по-сложни методи, като удостоверяване с биометричен пръстов отпечатък, могат да носят рискове.
„Вашите пръстови отпечатъци са навсякъде по телефона от докосването му“, каза Стайнбърг, обяснявайки, че сложни крадци могат да вдигнат отпечатъците ви и да ги използват, за да влязат в устройство. „Сензорът за пръстови отпечатъци няма начин да определи дали действително човек поставя пръста си там, срещу някой, който поставя изображение на пръстов отпечатък, който е бил вдигнат от телефона.“
Претегляне на ползите
Поради неудобството от носенето на допълнителен физически ключ за сигурност, Стайнбърг каза, че не вижда повечето обикновени потребители да правят превключването, предлагано от Twitter.
Проблемът е, че никой от тези [методи за удостоверяване] не е наистина толкова абсолютен, колкото хората си мислят, че е.
Моят опит показва, че дори неща, които са малка караница, когато става въпрос за сигурност - освен ако някой не е бил пробит и е претърпял сериозни последствия - е малко вероятно някой да превключи сега, когато има по-лесни механизми, които смятан за достатъчно добър“, каза Стайнбърг.
Все пак Стайнбърг каза, че конкретни групи потребители, като фирми и високопоставени личности, могат да се възползват от физическите ключове за сигурност.
Въпреки че няма идеално решение за защита на потребителския акаунт в социалните медии, Стайнбърг подчерта, че всяка форма на многофакторно удостоверяване е по-добра от никаква, поради факта, че социалните акаунти често се използват за влизане в други свързани акаунти в платформи.
„Ако днес не използвате двуфакторно удостоверяване за вашите акаунти в социалните медии – включете го“, каза Стайнбърг.
