Βασικά Takeaways
- Το έγκλημα στον κυβερνοχώρο βρίσκεται σε άνοδο εδώ και σχεδόν μισή δεκαετία, με τις επιθέσεις phishing να είναι ιδιαίτερα προβληματικές τον περασμένο χρόνο.
- Από το 2016, το Twitter έχει υποστεί πολλές κυβερνοεπιθέσεις υψηλού προφίλ και τώρα προσφέρει στους χρήστες την επιλογή φυσικών κλειδιών ασφαλείας.
- Η εταιρεία ισχυρίζεται ότι η μέθοδος είναι ένας από τους ισχυρότερους τρόπους για την ασφάλεια ενός λογαριασμού.
Μετά από σχεδόν μισή δεκαετία αυξανόμενου εγκλήματος στον κυβερνοχώρο και έναν χρόνο που αμαυρώθηκε από παραβιάσεις υψηλού προφίλ, το Twitter προσφέρει μια νέα δυνατότητα ασφαλείας που θα μπορούσε να βοηθήσει στον μετριασμό του κινδύνου στοχευμένων επιθέσεων σε λογαριασμούς χρηστών.
Σύμφωνα με μια ανάρτηση ιστολογίου που δημοσιεύτηκε στις 30 Ιουνίου, ο γίγαντας των μέσων κοινωνικής δικτύωσης προσφέρει τώρα στους χρήστες την επιλογή να κάνουν τα φυσικά κλειδιά ασφαλείας τη μοναδική τους μέθοδο ελέγχου ταυτότητας δύο παραγόντων (2FA) - μια κίνηση που θα μπορούσε να βοηθήσει τους λογαριασμούς να γίνουν περισσότεροι ασφαλής, ενώ εξαλείφεται η προηγούμενη απαίτηση για πιο αδύναμες μεθόδους δημιουργίας αντιγράφων ασφαλείας.
Ακόμα, οι ειδικοί προειδοποιούν ότι κάθε μέθοδος 2FA συνοδεύεται από συμβιβασμούς.
"Το πρόβλημα είναι ότι καμία από αυτές τις [μέθοδοι επαλήθευσης ταυτότητας] δεν είναι πραγματικά τόσο απόλυτη όσο οι άνθρωποι νομίζουν ότι είναι", είπε ο Joseph Steinberg, ένας 25χρονος ειδικός στον τομέα της κυβερνοασφάλειας και συγγραφέας πολλών βιβλίων, συμπεριλαμβανομένου του Cybersecurity for Dummies, στο Lifewire από τηλέφωνο.
Φυσικά κλειδιά ασφαλείας, επεξήγηση
Σύμφωνα με τον Steinberg, υπάρχουν διάφοροι τύποι ελέγχου ταυτότητας πολλαπλών παραγόντων-ο καθένας με τα δικά του πλεονεκτήματα και μειονεκτήματα.
Τα φυσικά κλειδιά ασφαλείας, όπως αυτά που προσφέρει το Twitter, είναι μικρές συσκευές τις οποίες οι χρήστες πρέπει να συνδέσουν ή να συγχρονίσουν με τις προσωπικές τους συσκευές προκειμένου να συνδεθούν στους λογαριασμούς τους - όπως τα κλειδιά του αυτοκινήτου. Αυτό προσφέρει το πλεονέκτημα της αποτροπής της απομακρυσμένης πρόσβασης σε λογαριασμούς χάκερ μέσω επιθέσεων phishing ή κακόβουλου λογισμικού.
…Είναι απίθανο κάποιος να αλλάξει τώρα όταν υπάρχουν ευκολότεροι μηχανισμοί που θεωρούνται αρκετά καλοί.
Σύμφωνα με την ανάρτηση ιστολογίου του Twitter, τα κλειδιά "μπορούν να διαφοροποιήσουν τους νόμιμους ιστότοπους από τους κακόβουλους και να αποκλείσουν απόπειρες ηλεκτρονικού "ψαρέματος" που δεν θα έκαναν τα SMS ή οι κωδικοί επαλήθευσης."
Θεωρητικά, τα κλειδιά προσφέρουν την ισχυρότερη λύση ασφάλειας για τους χρήστες - αλλά είναι επίσης μία από τις λιγότερο βολικές λύσεις για τους καθημερινούς χρήστες.
"Το σημαντικότερο μειονέκτημα είναι ότι τώρα πρέπει να μεταφέρετε το κλειδί εκτός από το τηλέφωνό σας", εξήγησε ο Steinberg. "Έτσι, αν θέλετε να κάνετε tweet από την παραλία, έχετε το τηλέφωνό σας και το κλειδί ασφαλείας."
Ο Steinberg προειδοποίησε επίσης ότι τα φυσικά κλειδιά ασφαλείας ενέχουν τον κίνδυνο να χαθούν, γεγονός που θα μπορούσε να έχει ως αποτέλεσμα τον αποκλεισμό ενός χρήστη από τον δικό του λογαριασμό.
Εξισορρόπηση των αντισταθμίσεων
Οι λιγότερο ασφαλείς μέθοδοι ελέγχου ταυτότητας, όπως η αποστολή ενός κωδικού σύνδεσης μέσω μηνύματος κειμένου στο κινητό σας τηλέφωνο, είναι συχνά πιο βολικές για τους χρήστες από τα φυσικά κλειδιά ασφαλείας - αλλά μπορεί να εγκυμονούν μεγαλύτερο κίνδυνο.
Ο Steinberg είπε ότι οι χάκερ μπορούν να υποκλέψουν κωδικούς SMS μέσω μεθόδων όπως η ανταλλαγή SIM, όπου οι κλέφτες κλέβουν τον αριθμό τηλεφώνου ενός χρήστη και λαμβάνουν τους κωδικούς στη δική τους συσκευή.
Εάν βασίζεστε σε μηνύματα κειμένου και κάποιος κλέψει με κάποιο τρόπο τον αριθμό τηλεφώνου σας και αρχίσει να λαμβάνει τα γραπτά σας μηνύματα, έχετε πρόβλημα γιατί θα λάβουν τους κωδικούς σας και θα μπορεί να επαναφέρει τους κωδικούς πρόσβασής σας», είπε ο Steinberg.
Οι εφαρμογές Authenticator που δημιουργούν έναν κωδικό σύνδεσης μίας χρήσης είναι μια άλλη δημοφιλής μέθοδος του 2FA, αλλά εξακολουθούν να διατρέχουν τον κίνδυνο πρόσβασης από χάκερ.
"Εάν ένας χρήστης συνδέεται σε έναν ιστότοπο phishing και εισαγάγει αυτόν τον κωδικό, τότε ο phisher έχει αυτόν τον κωδικό και μπορεί να τον μεταδώσει αμέσως στον πραγματικό ιστότοπο", εξήγησε ο Steinberg, προσθέτοντας ότι υπάρχει επίσης κίνδυνος απώλειας το τηλέφωνο και επομένως χάνεται η πρόσβαση στην εφαρμογή.
Ακόμη πιο περίπλοκες μέθοδοι, όπως ο βιομετρικός έλεγχος ταυτότητας με δακτυλικά αποτυπώματα, μπορεί να εγκυμονούν κινδύνους.
"Τα δακτυλικά σας αποτυπώματα είναι παντού στο τηλέφωνο από το να το αγγίξετε", είπε ο Steinberg, εξηγώντας ότι οι εξελιγμένοι κλέφτες μπορούν να σηκώσουν τα αποτυπώματά σας και να τα χρησιμοποιήσουν για να συνδεθούν σε μια συσκευή. "Ο αισθητήρας δακτυλικών αποτυπωμάτων δεν έχει τρόπο να προσδιορίσει εάν είναι ένας πραγματικός άνθρωπος που βάζει το δάχτυλό του εκεί, σε αντίθεση με κάποιον που βάζει μια εικόνα ενός δακτυλικού αποτυπώματος που αφαιρέθηκε από το τηλέφωνο."
Ζυγίζοντας τα οφέλη
Λόγω της ταλαιπωρίας της μεταφοράς ενός επιπλέον φυσικού κλειδιού ασφαλείας, ο Steinberg είπε ότι δεν βλέπει τους περισσότερους καθημερινούς χρήστες να κάνουν την αλλαγή να προσφέρονται από το Twitter.
Το πρόβλημα είναι ότι καμία από αυτές τις [μεθόδους ελέγχου ταυτότητας] δεν είναι πραγματικά τόσο απόλυτη όσο νομίζουν οι άνθρωποι.
Η εμπειρία μου είναι ότι ακόμη και τα πράγματα που είναι μια μικρή ταλαιπωρία όσον αφορά την ασφάλεια - εκτός εάν κάποιος έχει παραβιαστεί και έχει υποστεί σοβαρές συνέπειες - είναι απίθανο κάποιος να αλλάξει τώρα όταν υπάρχουν ευκολότεροι μηχανισμοί που είναι θεωρείται αρκετά καλό», είπε ο Στάινμπεργκ.
Παρόλα αυτά, ο Steinberg είπε ότι συγκεκριμένες ομάδες χρηστών, όπως επιχειρήσεις και άτομα υψηλού προφίλ, θα μπορούσαν να επωφεληθούν από φυσικά κλειδιά ασφαλείας.
Αν και δεν υπάρχει τέλεια λύση για την ασφάλεια του λογαριασμού μέσων κοινωνικής δικτύωσης ενός χρήστη, ο Steinberg τόνισε ότι οποιαδήποτε μορφή ελέγχου ταυτότητας πολλαπλών παραγόντων είναι καλύτερη από καμία, λόγω του γεγονότος ότι οι λογαριασμοί κοινωνικής δικτύωσης χρησιμοποιούνται συχνά για σύνδεση σε άλλους συνδεδεμένους λογαριασμούς πλατφόρμες.
"Εάν δεν χρησιμοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων σήμερα για τους λογαριασμούς σας στα μέσα κοινωνικής δικτύωσης, ενεργοποιήστε τον", είπε ο Steinberg.
