Το Twitter έθεσε πρόσφατα σε εφαρμογή μία σημαντική αλλαγή που επηρεάζει τον τρόπο με τον οποίο οι περισσότεροι άνθρωποι προστατεύουν τους λογαριασμούς τους. Η εταιρεία ενημέρωσε τους χρήστες, που δεν πληρώνουν συνδρομή στο πρόγραμμα Twitter Blue, ότι σύντομα θα πρέπει να σταματήσουν να χρησιμοποιούν ένα δημοφιλές χαρακτηριστικό ασφαλείας, δηλαδή τον έλεγχο ταυτότητας δύο παραγόντων μέσω SMS.

Με απλά λόγια, σύμφωνα με τους «New York Times», ο έλεγχος ταυτότητας δύο παραγόντων απαιτεί δύο βήματα ασφαλείας για να επαληθευτεί ότι είστε το άτομο που λέτε ότι είστε, όταν επιχειρείτε να συνδεθείτε στο προφίλ σας. Το πρώτο βήμα ζητά ένα όνομα χρήστη και έναν κωδικό πρόσβασης και το δεύτερο απαιτεί είτε να εισαγάγετε έναν προσωρινό κωδικό που σας αποστέλλεται. Έτσι, με αυτόν τον τρόπο, ακόμα και αν κάποιος έχει τον κωδικό πρόσβασής σας, το άτομο αυτό θα πρέπει να εκπληρώσει και το δεύτερο βήμα για να συνδεθεί στον λογαριασμό σας στο Twitter.

Η ανακοίνωση του Twitter

Το Twitter ανέφερε σε μία ανάρτησή του, στις 15 Φεβρουαρίου, ότι οι χρήστες που δεν ήταν συνδρομητές της υπηρεσίας Twitter Blue δεν θα μπορούν πλέον να χρησιμοποιούν τη μέθοδο με τα SMS ως μορφή ελέγχου ταυτότητας μετά τις 20 Μαρτίου.

Οι χρήστες που δεν πληρώνουν συνδρομή στο Twitter Blue μπορούν να στραφούν σε διαφορετικές τεχνικές επαλήθευσης με ισχυρότερες μορφές ασφάλειας. Οι εναλλακτικές λύσεις βασίζονται είτε στη χρήση μίας εφαρμογής για τη δημιουργία ενός προσωρινού κωδικού είτε στη σύνδεση ενός εξουσιοδοτημένου κλειδιού ασφαλείας για πρόσβαση στον λογαριασμό σας.

Μάλιστα, ο επιχειρηματίας και νέος ιδιοκτήτης του Twitter, Έλον Μασκ, έστειλε το δικό του μήνυμα, γράφοντας στις 18 Φεβρουαρίου το εξής: «Η χρήση δωρεάν εφαρμογών για τον έλεγχο ταυτότητας δύο παραγόντων (2FA) θα παραμείνει δωρεάν και είναι πολύ πιο ασφαλής από τα SMS».

Το Twitter είχε ένα βάσιμο επιχείρημα σχετικά με τα ελαττώματα στον έλεγχο ταυτότητας μέσω SMS, σύμφωνα με τον Κέισι Έλις, επικεφαλής τεχνολογίας της εταιρείας ασφάλειας Bugcrowd. «Αυτό στην πραγματικότητα έχει κάποιο νόημα, αλλά απλώς δεν αποσαφηνίστηκε» ανέφερε ο ίδιος. Υπάρχουν, όμως, και μειονεκτήματα στην προσέγγιση του Twitter, όπως πρόσθεσε. Η επαλήθευση της ταυτότητας κάποιου με τη χρήση γραπτών μηνυμάτων ήταν το απλούστερο εργαλείο ασφαλείας για τη συντριπτική πλειονότητα των ανθρώπων. Οι άλλες τεχνικές απαιτούν επιπλέον βήματα για να δημιουργηθούν.

Επαλήθευση ταυτότητας μέσω SMS

Για πολλά χρόνια, το Twitter και άλλοι ιστότοποι ενθάρρυναν τους χρήστες να ρυθμίζουν τον έλεγχο ταυτότητας δύο παραγόντων μέσω SMS. Αυτή η μέθοδος στέλνει έναν ευαίσθητο κωδικό ασφαλείας στο τηλέφωνο του χρήστη, που είναι έγκυρος για μερικά λεπτά, και αποτελούσε την πιο ευρέως χρησιμοποιούμενη μορφή επαλήθευσης της ταυτότητας χρήστη επειδή σχεδόν όλοι έχουν κινητό τηλέφωνο, οπότε ακόμα και το λιγότερο εξοικειωμένο με την τεχνολογία άτομο θα μπορούσε να την καταλάβει.

Με την πάροδο του χρόνου, όμως, οι ερευνητές ασφαλείας διαπίστωσαν ότι ο έλεγχος ταυτότητας μέσω SMS είναι όλο και πιο προβληματικός. Ένα μήνυμα κειμένου που περιέχει έναν κωδικό ασφαλείας θα μπορούσε να υποκλαπεί από κάποιον που έχει υποκλέψει τον αριθμό τηλεφώνου σας – μία απάτη γνωστή ως SIM swapping. Έτσι, με αυτόν τον τρόπο, το 2019, χάκερ εισέβαλαν στον λογαριασμό Twitter του άλλοτε διευθύνοντος συμβούλου της εταιρείας, Τζακ Ντόρσεϊ.

Ωστόσο, υπάρχουν και άλλα ζητήματα. Ένα SMS δεν είναι κρυπτογραφημένο, οπότε μπορεί να αποτελέσει κίνδυνο για την ασφάλεια η λήψη μηνυμάτων σε ξένα δίκτυα σε χώρες με έντονη επιτήρηση, όπως η Κίνα και η Ρωσία. «Πάντως, οι ερευνητές ασφαλείας συνεχίζουν να ανακαλύπτουν νέα ελαττώματα στον έλεγχο ταυτότητας μέσω SMS, οπότε μπορούμε να περιμένουμε περισσότερους ιστότοπους και εφαρμογές που θα ωθήσουν τους χρήστες να απομακρυνθούν από τη λήψη κωδικών μέσω SMS» τόνισε ο Κέισι Έλις.

Twitter
Το λογότυπο του Twitter | Unsplash

Έλεγχος ταυτότητας μέσω εφαρμογής

Στη συνέχεια, υπάρχουν και οι εφαρμογές ελέγχου ταυτότητας, τις οποίες «κατεβάζετε» σε ένα κινητό τηλέφωνο ή σε έναν υπολογιστή. Δημιουργούν προσωρινούς κωδικούς ασφαλείας (αντί να τους στέλνετε με μήνυμα στο τηλέφωνό σας), τους οποίους εισάγετε για να συνδεθείτε στους διαδικτυακούς λογαριασμούς και στις εφαρμογές σας.

Ας χρησιμοποιήσουμε το Twitter και την εφαρμογή Google Authenticator ως παράδειγμα. Αρχικά, «κατεβάστε» την εφαρμογή Google Authenticator στο τηλέφωνό σας. Στη συνέχεια, στον ιστότοπο του Twitter μέσω ενός υπολογιστή, κάντε κλικ στο Περισσότερα → Ρυθμίσεις και υποστήριξη → Ρυθμίσεις και απόρρητο → Ασφάλεια και πρόσβαση στον λογαριασμό → Ασφάλεια → Επαλήθευση δύο παραγόντων → Εφαρμογή ελέγχου ταυτότητας.

Κατόπιν, ακολουθήστε τα βήματα σύμφωνα με τις οδηγίες του Twitter. Θα σας ζητηθεί να χρησιμοποιήσετε την εφαρμογή Authenticator για να σαρώσετε έναν κωδικό QR με την κάμερα του τηλεφώνου σας, ο οποίος θα συνδέσει την εφαρμογή με τον λογαριασμό σας στο Twitter και θα αρχίσει να δημιουργεί κωδικούς ασφαλείας. Όταν συνδεθείτε στο Twitter, θα εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας και στη συνέχεια θα ανοίξετε την εφαρμογή Authenticator για να βρείτε τον προσωρινό κωδικό.

Το μεγάλο μειονέκτημα της χρήσης τέτοιων εφαρμογών είναι ότι αν χάσετε το τηλέφωνό σας ή αλλάξετε τηλέφωνο, μπορεί να είναι δύσκολο να ανακτήσετε την πρόσβαση στους λογαριασμούς σας. Συνήθως, ένας ιστότοπος ή μία εφαρμογή όπως το Twitter θα σας επιτρέψει να ανακτήσετε την πρόσβαση στο λογαριασμό σας με έναν κωδικό ασφαλείας. Στις ρυθμίσεις ελέγχου ταυτότητας δύο παραγόντων του Twitter, ένα μενού με την ένδειξη «Εφεδρικοί κωδικοί» θα δημιουργήσει έναν κωδικό που θα σας επιτρέψει να συνδεθείτε ξανά. Φροντίστε να σημειώσετε αυτόν τον κωδικό και να τον αποθηκεύσετε σε ασφαλές μέρος.

Αυτή η τεχνική απαιτεί λίγο χρόνο, αλλά είναι καλύτερη, εφόσον πολύ πιο δύσκολο για κάποιον να υποκλέψει τη συσκευή σας για να δει τους κωδικούς ασφαλείας σας από ό,τι είναι να υποκλέψει ένα μήνυμα κειμένου.

Κλειδιά ασφαλείας

Η τρίτη μέθοδος, που είναι η χρήση ενός φυσικού κλειδιού ασφαλείας με τη μορφή USB το οποίο εισάγετε στον υπολογιστή ή το τηλέφωνό σας για να συνδεθείτε, είναι η πιο ασφαλής από όλες. Δεν είναι πιθανό να δούμε αυτή την τεχνική να υιοθετείται ευρέως, επειδή το κλειδί ασφαλείας κοστίζει και αν χάσετε αυτό το κλειδί ασφαλείας, μπορεί να είναι δύσκολο να ανακτήσετε την πρόσβαση στο λογαριασμό σας.

Ας χρησιμοποιήσουμε ως παράδειγμα το κλειδί ασφαλείας Titan του Twitter και της Google.  Πρώτον, πρέπει να αγοράσετε ένα κλειδί ασφαλείας. Η Google πωλεί το κλειδί ασφαλείας Titan για 30 δολάρια, περιλαμβάνει ένα ζευγάρι κλειδιών για διαφορετικούς τύπους υπολογιστών και τηλεφώνων.

Δεύτερον, στον ιστότοπο του Twitter μέσω ενός υπολογιστή, κάντε κλικ στο Περισσότερα → Ρυθμίσεις και υποστήριξη → Ρυθμίσεις και απόρρητο → Ασφάλεια και πρόσβαση στον λογαριασμό → Ασφάλεια → Επαλήθευση δύο παραγόντων → Κλειδί ασφαλείας.

Κατόπιν, ακολουθήστε τα βήματα σύμφωνα με τις οδηγίες του Twitter. Στη συνέχεια, το Twitter θα εμφανίσει μια οθόνη με έναν εφεδρικό κωδικό σε περίπτωση που χάσετε το κλειδί σας. Αποθηκεύστε το σε κάποιο ασφαλές μέρος. Αν και φαίνεται μία πολύπλοκη διαδικασία, παρ’ όλα αυτά μπορεί να είναι χρήσιμο για ανθρώπους που εργάζονται σε ιδιαίτερα ευαίσθητους τομείς, όπως οι κυβερνητικές υπηρεσίες.

Photos credits: Pixabay