Key takeaways
- Cyberkriminalitet har vært på vei oppover i nesten et halvt tiår, med phishing-angrep som spesielt problematiske det siste året.
- Siden 2016 har Twitter opplevd flere høyprofilerte nettangrep og tilbyr nå brukere muligheten til fysiske sikkerhetsnøkler.
- Selskapet hevder metoden er en av de sterkeste måtene å sikre en konto på.
Etter nesten et halvt tiår med økende nettkriminalitet og et år preget av høyprofilerte brudd, tilbyr Twitter en ny sikkerhetsfunksjon som kan bidra til å redusere risikoen for målrettede angrep på brukerkontoer.
I følge et blogginnlegg publisert 30. juni, tilbyr sosiale medier-giganten nå brukere muligheten til å gjøre fysiske sikkerhetsnøkler til sin eneste metode for tofaktorautentisering (2FA) – et grep som kan bidra til å gjøre kontoer mer sikker samtidig som man eliminerer det tidligere kravet om svakere sikkerhetskopieringsmetoder.
Eksperter advarer likevel om at hver metode for 2FA kommer med avveininger.
"Problemet er at ingen av disse [autentiseringsmetodene] egentlig er så absolutte som folk tror de er," sa Joseph Steinberg, en 25-årig cybersikkerhetsekspert og forfatter av flere bøker, inkludert Cybersecurity for Dummies, til Lifewire av telefon.
Fysiske sikkerhetsnøkler, forklart
Ifølge Steinberg finnes det flere typer multifaktorautentisering - hver med sine egne fordeler og mangler.
Fysiske sikkerhetsnøkler, som de som tilbys av Twitter, er små enheter som brukere fysisk må koble til, eller synkronisere med, sine personlige enheter for å logge inn på kontoene deres – omtrent som bilnøkler. Dette gir fordelen ved å hindre hackere i å få ekstern tilgang til kontoer gjennom phishing-angrep eller skadelig programvare.
…Det er usannsynlig at noen kommer til å bytte nå når det er enklere mekanismer som anses å være gode nok.
I følge Twitters blogginnlegg kan nøklene "skille legitime nettsteder fra ondsinnede og blokkere phishing-forsøk som SMS eller bekreftelseskoder ikke ville."
Teoretisk sett tilbyr nøklene den sterkeste sikkerhetsløsningen for brukere – men de er også en av de minst praktiske løsningene for hverdagsbrukere.
"Den store ulempen er at du nå må bære nøkkelen i tillegg til telefonen," forklarte Steinberg. «Så hvis du vil tweete fra stranden, har du med deg telefonen og sikkerhetsnøkkelen.»
Steinberg advarte også om at fysiske sikkerhetsnøkler medfører risiko for å gå tapt, noe som kan føre til at en bruker blir utestengt fra sin egen konto.
Balancing the Tradeoffs
Mindre sikre autentiseringsmetoder, som å sende en påloggingskode til mobiltelefonen din, er ofte mer praktisk for brukere enn fysiske sikkerhetsnøkler, men de kan ha en høyere risiko.
Steinberg sa at hackere kan avskjære SMS-koder gjennom metoder som SIM-bytte, der tyver stjeler en brukers telefonnummer og mottar kodene på sin egen enhet.
"Hvis du er avhengig av tekstmeldinger og noen på en eller annen måte stjeler telefonnummeret ditt og begynner å få tekstmeldingene dine, har du et problem fordi de kommer til å få kodene dine og de kommer til å bli kunne tilbakestille passordene dine," sa Steinberg.
Autentiseringsapper som genererer en engangspåloggingskode er en annen populær metode for 2FA, men de har fortsatt risikoen for å bli åpnet av hackere.
"Hvis en bruker logger på et phishing-nettsted og de skriver inn den koden, har phisheren den koden og kan overføre den til det virkelige nettstedet umiddelbart," forklarte Steinberg og la til at det også er en risiko for å miste telefonen og mister derfor tilgangen til appen.
Enda mer komplekse metoder, som biometrisk fingeravtrykkautentisering, kan medføre risiko.
"Fingeravtrykkene dine er over hele telefonen fra å berøre den," sa Steinberg og forklarte at sofistikerte tyver kan løfte avtrykkene dine og bruke dem til å logge på en enhet. "Fingeravtrykksensoren har ikke en måte å avgjøre om det er et faktisk menneske som legger fingeren der, i motsetning til at noen legger et bilde av et fingeravtrykk som ble løftet fra telefonen."
Veing av fordelene
På grunn av ulempen med å ha med seg en ekstra fysisk sikkerhetsnøkkel, sa Steinberg at han ikke ser at de fleste vanlige brukere gjør byttet tilbys av Twitter.
Problemet er at ingen av disse [autentiseringsmetodene] er så absolutte som folk tror de er.
Min erfaring har vært at selv ting som er et lite problem når det gjelder sikkerhet - med mindre noen har blitt brutt og fått alvorlige konsekvenser - er det lite sannsynlig at noen kommer til å bytte nå når det er enklere mekanismer som er anses å være god nok, sa Steinberg.
Likevel sa Steinberg at spesifikke brukergrupper, som bedrifter og høyprofilerte personer, kan dra nytte av fysiske sikkerhetsnøkler.
Selv om det ikke finnes noen perfekt løsning for å sikre en brukers sosiale mediekonto, understreket Steinberg at enhver form for multifaktorautentisering er bedre enn ingen, på grunn av det faktum at sosiale kontoer ofte brukes til å logge på andre tilkoblede kontoer på tvers av plattformer.
"Hvis du ikke bruker tofaktorautentisering i dag for kontoene dine på sosiale medier, slå den på," sa Steinberg.
