تغيير المصادقة الثنائية في Twitter “لا معنى له”
تغيير المصادقة الثنائية في Twitter “لا معنى له”
أعلن تويتر أمس اعتبارًا من 20 مارس ، سيسمح لمستخدميه فقط بتأمين حساباتهم باستخدام المصادقة الثنائية القائمة على الرسائل القصيرة إذا دفعوا مقابل اشتراك Twitter Blue. تتطلب المصادقة الثنائية ، أو 2FA ، من المستخدمين تسجيل الدخول باسم مستخدم وكلمة مرور ثم “عامل” إضافي مثل رمز رقمي. لطالما نصح خبراء الأمن الأشخاص باستخدام تطبيق مولد للحصول على هذه الرموز. لكن تلقيها في رسائل نصية قصيرة SMS يعد بديلاً شائعًا ، لذا فإن إزالة هذا الخيار للمستخدمين غير المدفوعين ترك خبراء الأمن في حيرة من أمرهم.
خطوة Twitter ثنائية العوامل هي الأحدث في سلسلة من التغييرات السياسية المثيرة للجدل منذ أن استحوذ Elon Musk على الشركة العام الماضي. الخدمة المدفوعة Twitter Blue – الطريقة الوحيدة للحصول على علامة اختيار زرقاء تم التحقق منها على حسابات Twitter الآن – تكلف 11 دولارًا شهريًا على Android و iOS وأقل للاشتراك المكتبي فقط. سيكون لدى المستخدمين الذين يتم إقلاعهم من المصادقة الثنائية المستندة إلى الرسائل القصيرة خيار التبديل إلى تطبيق مصدق أو مفتاح أمان مادي.
كتب Twitter في مشاركة مدونة نشرت مساء أمس. “لذا بدءًا من اليوم ، لن نسمح بعد الآن للحسابات بالتسجيل في طريقة الرسائل النصية / SMS الخاصة بالمصادقة الثنائية (2FA) إلا إذا كانوا مشتركين في Twitter Blue.”
في تقرير يوليو 2022 حول أمان الحساب، قال موقع Twitter أن 2.6 بالمائة فقط من المستخدمين النشطين لديهم أي نوع من المصادقة الثنائية ممكّنة. من بين هؤلاء المستخدمين ، كان ما يقرب من 75 في المائة يستخدمون إصدار الرسائل القصيرة. ما يقرب من 29 في المائة كانوا يستخدمون تطبيقات المصادقة وأقل من 1 في المائة أضافوا مفتاح مصادقة مادي.
المصادقة الثنائية المستندة إلى الرسائل القصيرة غير آمنة لأن المهاجمين يمكنهم اختطاف أرقام هواتف الأهداف أو استخدام تقنيات أخرى لاعتراض الرسائل النصية. لكن خبراء الأمن أكدوا منذ فترة طويلة أن استخدام عاملين للرسائل القصيرة أفضل بكثير من عدم تمكين عامل المصادقة الثاني على الإطلاق.
على نحو متزايد ، ألغى عمالقة التكنولوجيا مثل Apple و Google خيار الرسائل القصيرة ثنائية العامل ونقل المستخدمين (عادةً على مدار عدة أشهر أو سنوات) إلى أشكال أخرى من المصادقة. يشعر الباحثون بالقلق من أن تغيير سياسة تويتر سيؤدي إلى إرباك المستخدمين من خلال منحهم القليل من الوقت لإكمال الانتقال وجعل الرسائل النصية القصيرة ذات عاملين تبدو وكأنها ميزة متميزة.
“مدونة Twitter محقة في الإشارة إلى أن المصادقة ذات العاملين التي تستخدم الرسائل النصية كثيرًا ما يسيء استخدامها الفاعلون السيئون. أوافق على أنها أقل أمانًا من طرق المصادقة الثنائية الأخرى “، كما تقول لوري كرانور ، مديرة مختبر الخصوصية والأمان القابل للاستخدام في كارنيجي ميلون. ولكن إذا كان دافعهم هو الأمان ، ألا يريدون الاحتفاظ بالحسابات المدفوعة آمنة أيضًا؟ ليس من المنطقي السماح بالطريقة الأقل أمانًا للحسابات المدفوعة فقط “.
بينما تقول الشركة إن التغييرات التي أجرتها على عاملين سيتم طرحها في منتصف شهر مارس ، بدأ مستخدمو Twitter الذين لديهم رسائل SMS ثنائية عاملين قيد التشغيل في مواجهة شاشة تراكب منبثقة بالأمس نصحتهم بإزالة عاملين تمامًا أو التبديل إلى ” تطبيق المصادقة أو طرق مفتاح الأمان. ”
ليس من الواضح ما الذي سيحدث إذا لم يقم المستخدمون بتعطيل عاملي الرسائل القصيرة بحلول الموعد النهائي الجديد. تشير الرسالة داخل التطبيق إلى المستخدمين إلى أن الأشخاص الذين لا يزال لديهم عامل تشغيل للرسائل القصيرة SMS عند حدوث التغيير رسميًا في 20 مارس سيتم حظرهم من حساباتهم. يقول الإشعار: “لتجنب فقدان الوصول إلى Twitter ، قم بإزالة المصادقة الثنائية للرسالة النصية بحلول 19 مارس 2023”. لكن منشور مدونة Twitter يقول أنه سيتم ببساطة تعطيل عاملين في 20 مارس إذا لم يقم المستخدمون بتعديله قبل ذلك الحين. كتبت الشركة: “بعد 20 مارس 2023 ، لن نسمح لمشتركي تويتر الأزرق غير المشتركين باستخدام الرسائل النصية كطريقة 2FA”. “في ذلك الوقت ، فإن الحسابات التي لا تزال مُمكّنة للرسالة النصية 2FA ستعمل على تعطيلها.”