Έλεγχος ταυτότητας MFA.
Μια πρόσφατη ανακοίνωση του Twitter έφερε στην επιφάνεια το θέμα του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και έφερε αναστάτωση σε όλο τον τεχνολογικό κόσμο.
Η εταιρεία ανακοίνωσε ότι από τις 20 Μαρτίου 2023, εκτός εάν κάποιος χρήστης είναι συνδρομητής στο πρόγραμμα Twitter Blue (συνδρομή 11 $/μήνα), θα χάσει την πρόσβαση στον έλεγχο ταυτότητας δύο παραγόντων που βασίζεται σε SMS (2FA). Το SMS έχει παρουσιαστεί ιστορικά ως ένας μηχανισμός χαμηλής ασφάλειας που μεταβιβάζει πολλές λειτουργίες ασφάλειας και ανάκτησης στις εταιρείες κινητής τηλεφωνίας των χρηστών.
Η πρόσφατη ιστορία έχει δείξει ότι δεν είναι όλα οι τρόποι MFA το ίδιο αποτελεσματικοί, κάτι που τονίζεται από τις αδυναμίες του 2FA που βασίζεται σε SMS από επιθέσεις SIM Swapping και Social Engineering. Υπάρχει επίσης ένα μεγάλο κόστος για τις εταιρείες που επιλέγουν να ενεργοποιήσουν το SMS 2FA.
SMS 2FA – έλεγχος ταυτότητας.
Κατά την αποστολή κωδικών SMS σε συσκευές, οι επικοινωνίες αναμεταδίδονται μέσω τρίτου μέρους, όπως τηλεφωνική εταιρεία ή υπηρεσία ανταλλαγής μηνυμάτων. Αυτά τα μηνύματα είναι αυτοματοποιημένα ως μέρος της ροής σύνδεσης. Σε μικρή κλίμακα, αυτό μπορεί να φαίνεται να είναι αμελητέο κόστος σε σύγκριση με άλλες μεθόδους. Ωστόσο, για μεγάλους παρόχους υπηρεσιών όπως το Twitter, η κατάχρηση αυτών των μηχανισμών μπορεί να είναι μια πολύ δαπανηρή πρόταση . Οι κακοί παράγοντες μπορούν να χρησιμοποιήσουν αυτήν τη μέθοδο δημιουργώντας στόλους λογαριασμών και στη συνέχεια στέλνοντας αναπάντητα μηνύματα MFA σε επιθέσεις άντλησης SMS .
Οι νόμιμοι λογαριασμοί μπορούν επίσης να τεθούν σε κίνδυνο σε σενάρια κλοπής λογαριασμών ή κλοπής ταυτότητας μέσω SIM Swapping και κοινωνικής μηχανικής. Ακόμη και για μικρές και μεσαίες επιχειρήσεις, το κόστος τρίτων που σχετίζεται με τα SMS μπορεί να επεκταθεί – ειδικά εάν η υπηρεσία είναι αυτός ο στόχος άντλησης .
Ευτυχώς, με την υιοθέτηση εναλλακτικών σύγχρονων μεθόδων MFA όπως το FIDO2/WebAuthn, οι πάροχοι υπηρεσιών μπορούν να διατηρήσουν την ευκολία χρήσης και την ευελιξία στις ροές εργασιών MFA και να μειώσουν το σημαντικό κόστος και τους κινδύνους που σχετίζονται με τα SMS
Το μέλλον του MFA με το FIDO2 και το WebAuthn.
Το πρότυπο WebAuthn, γνωστό και ως FIDO2, περιγράφει φιλικές προς το χρήστη και κρυπτογραφικά ασφαλείς μεθόδους ελέγχου ταυτότητας που είναι ευέλικτες, σύγχρονες και δεν απαιτούν πρόσθετο κόστος για τον πάροχο υπηρεσιών. Υποστηρίζεται από όλα τα σύγχρονα λειτουργικά συστήματα και προγράμματα περιήγησης και μπορεί να αξιοποιήσει τις ενσωματωμένες λειτουργίες ελέγχου ταυτότητας συσκευών όπως υπολογιστές και τηλέφωνα – ή ακόμα πιο ασφαλείς επιλογές όπως εξωτερικά κλειδιά ασφαλείας. Η Yubico, ο εφευρέτης του YubiKey, που είναι το χρυσό πρότυπο για τα κλειδιά ασφαλείας υλικού, δημιούργησε επίσης και συνεχίζει να συμβάλλει στα πρότυπα FIDO2/WebAuthn.
Από τα μέσα του 2019, το Twitter παρέχει στους πελάτες την επιλογή WebAuthn και είναι η προτιμώμενη μέθοδος MFA της εταιρείας και για τους εσωτερικούς υπαλλήλους της. Το Twitter το υποστηρίζει επίσης ως η μόνη μέθοδος MFA που μπορούν να επιλέξουν οι χρήστες και δεν απαιτεί αριθμό τηλεφώνου – συμβάλλοντας στη βελτίωση του απορρήτου και της ανωνυμίας. Μπορείτε να βρείτε οδηγίες για την εγγραφή συσκευών WebAuthn στη Γνωσιακή Βάση του Twitter εδώ .
Το WebAuthn είναι αδιαμφισβήτητα ανθεκτικό στο phishing πρότυπο MFA που επιτρέπει στους τελικούς χρήστες να συσχετίζουν τα κλειδιά ασφαλείας ή τις συσκευές ασφαλείας τους σε ένα ευρύ φάσμα υπηρεσιών. Δεδομένου ότι οι χρήστες φέρνουν το δικό τους εργαλείο ελέγχου ταυτότητας και το πρότυπο είναι δωρεάν στη χρήση, οι εταιρείες μπορούν να παρέχουν εξαιρετικά ασφαλή MFA που δεν επιφέρει απροσδόκητο κόστος συναλλαγής. Το Twitter, αποσύροντας ουσιαστικά τις μεθόδους SMS 2FA για μη συνδρομητές του Twitter Blue, κάνει ένα τολμηρό βήμα προς τα εμπρός τόσο στον έλεγχο του κόστους τους όσο και στην καθοδήγηση των χρηστών σε ισχυρότερες, ευκολότερες στη χρήση μεθόδους ελέγχου ταυτότητας.
Για να μάθετε ποιο YubiKey είναι κατάλληλο για εσάς, προτρέπουμε τους χρήστες του Twitter αλλά και όσους αναζητούν μια σύγχρονη εναλλακτική λύση MFA αντί των εφαρμογών SMS ή ελέγχου ταυτότητας να συμμετάσχουν στο σύντομο ερωτηματολόγιο μας.
Μπορείτε να δείτε όλες τις επιλογές κλειδιών ασφαλείας μέσω του καταστήματός μας .
Πηγή: Yubico / Josh Cigna