オンライン アカウントに追加のセキュリティ層を追加することは、デジタル ライフをハッカーから守るための基本的なステップですが、新しい方法が古い方法と同じくらい脆弱であるとしたら、一体何の意味があるのでしょうか?
これは、アカウントの 2 要素認証が思ったほど安全ではないことを知った一部の Twitter ユーザーが尋ねている質問です。
しかし、ちょっと話を戻しましょう。あなたが誰であっても、Twitter がハッキングされるのは非常に残念なことです。しかし、ドナルド・トランプのような政治家の場合、アカウントのハイジャックは単なる頭痛の種以上のものを意味します。偽の政策発表が引き起こす可能性のある大混乱について考えてみてください。
そして、それは歓迎すべきニュースでした2013年に遡りますTwitterが公開されたとき二要素認証(2FA) すべてのユーザーに。この追加されたセキュリティ層により、ユーザーは、パスワードが盗まれた場合でも、テキスト メッセージで送信される 2 番目のログイン資格情報を要求することで自分のアカウントを保護できます。
すごいですよね?まあ、ちょっと。
SMS ベースの 2FA は追加の保護を提供しますが、これには大きな問題があります。つまり、SMS 自体は安全ではありません。 Signaling System 7 プロトコル (SS7) として知られるプロトコル (異なる電話会社間の通信を可能にするプロトコル) の欠陥により、ハッカーはテキストを事実上任意の番号にリダイレクトできる可能性があります。
つまり、SMS 認証コードがハッカーの携帯電話に直接送信される可能性があります。
そして、これは単なる理論上の話ではありません。 2017 年 1 月に、レポートアルス テクニカ、犯罪者のグループがこの欠陥を悪用し、被害者の SMS 認証コードを奪い、銀行口座を流出させました。
そのため、テキストベースの 2FA には、トラックが通り抜けることができるほど大きなセキュリティ ホールがあることが知られているため、Twitter は 2FA をセットアップする追加の方法を有益に導入しました。すでに Twitter モバイル アプリ経由で自分のアカウントにアクセスできるユーザーは、ログインコードジェネレーター, ただし、これにはモバイルですでにログインしている必要があるため、サインアウトしている場合は役に立ちません。
マッシュ可能な光の速度
もう 1 つの方法であるサードパーティの認証アプリは、より良いオプションを提供します。これらのアプリは、Google認証システム、携帯電話で確認コードとして番号シーケンスを生成します。脆弱なテキスト メッセージは必要ありません。
クレジット: ツイッター
問題は解決しましたね?
それほど速くはありません。なぜなら、認証アプリが有効になっているTwitterであっても、問題はここにあるからです。まだSMS認証コードを送信している。そうです、認証アプリを使用して Twitter アカウントを保護するために特別な措置を講じた人々 (おそらく、アカウントがハッキングされることを最も懸念している人々) は、依然として SMS ベースの確認コードに依存している人々と同じくらい脆弱です。
そしてこれは見過ごされていません。
ツイートは削除された可能性があります
ツイートは削除された可能性があります
ツイートは削除された可能性があります
ツイートは削除された可能性があります
ツイートは削除された可能性があります
Twitter が依然としてコード付きのテキスト メッセージを送信するのであれば、ユーザーはサードパーティの認証アプリを設定する意味があるのではないかと疑問に思うのは当然です。
Twitter側はこの件に関して沈黙を守っている。
私たちは会社に連絡を取り、多数の従業員と複数の電子メールを交換しましたが、サードパーティの認証アプリを維持しながら SMS ベースの 2FA 確認コードを無効にする方法があるかどうか、またその理由について説明することを全員が断固として拒否しました。 。
ある広報担当者は、同社は「ヘルプセンターにある内容以外に2FAに関して共有できることは何もない」とだけ答えた。明確にしておきますが、ヘルプセンターではこの問題には対応していません。
Twitter アカウントから電話番号を削除するだけではどうでしょうか?そうなるとテキストは送信できなくなりますよね?ただし、サードパーティの認証アプリは使用できなくなります。
同社は広報担当者を通じて、SMS をハッカーに対して脆弱にする SS7 エクスプロイトについてもコメントを拒否した。
なぜこれが重要なのか
平均的な Twitter ユーザーにとって、テキスト メッセージ ベースの確認コードは、欠陥はあるものの、セキュリティを強化する優れたレイヤーです。しかし、1 月に銀行口座を空にした犯罪者が示したように、決意の強いハッカーはこのセキュリティ対策を回避することができます。
そしておそらく、これは一部のユーザーのアカウントに影響を与えるバグであり、サードパーティの 2FA アプリを使用している Twitter のユーザー全員に影響を与えるわけではありません。しかし、ツイッター社がこの問題について議論することを拒否しているということは、我々には分からないということだ。
あなたや私にとって、これは結局のところそれほど大したことではないかもしれません。著名人、政治家、団体関係者向けシリコンバレーのエリート?まあ、それは別の問題であり、Twitter が早急に対処すべき問題です。