Vanaf vandaag schakelt Twitter op sms gebaseerde tweefactorauthenticatie (2FA) uit voor alle gebruikers behalve betalende gebruikers na een beslissing die, in tegenstelling tot andere recente stappen van de socialemediagigant, tot controverse heeft geleid die tot ver buiten de Twitterverse weergalmde.

"Hoewel historisch gezien een populaire vorm van 2FA is, hebben we helaas gezien dat op telefoonnummers gebaseerde 2FA wordt gebruikt - en misbruikt - door slechte acteurs," leest de verklaring van Twitter aankondiging van de verandering in het midden van februari.

Door de jaren heen hebben het bedrijf en veel van zijn gebruikers – waaronder voormalig Twitter-CEO Jack Dorsey – hebben op de harde manier geleerd dat telefoonnummers geen goede identificatiegegevens zijn en dat sms-berichten kwetsbaar zijn voor kaping.

Snel vooruitspoelen (bijna) naar het heden en de huidige CEO van het platform Elon Musk had dit te zeggen op het laten vallen van 2FA door Twitter: "Twitter wordt opgelicht door telefoonbedrijven voor $ 60 miljoen / jaar aan valse 2FA-sms-berichten."

Voordat u echter zegt: 'goede raad met SMS 2FA', moet u bedenken dat het gebruik van elke 2FA-methode veel beter is dan alleen op uw wachtwoord te vertrouwen. Dit roept dan de vraag op: heb je je voorbereid op de ondergang van gratis SMS 2FA zodat je voorkomt dat je Twitter account met een verhoogd risico op hacken? De afgelopen weken heeft Twitter gebruikers weggeduwd naar een andere inlogmethode in twee stappen, maar als die het werk niet hebben gedaan, is het nu echt tijd om te handelen.

Hier leest u hoe u de beveiliging van uw Twitter-account kunt verbeteren zonder SMS 2FA - en het veiliger kunt houden dan ooit tevoren. Ook als u behoort tot de 0.2 procent van de Twitter-gebruikers die betalen voor abonnementen op het platform, blijf lezen - veel van dit advies kan ook voor u van pas komen.

Hoe 2FA-authenticatie werkt - en hoe het mislukt

Zoals u waarschijnlijk inmiddels weet, voegt 2FA een waardevolle beschermingslaag toe aan uw account en is het bijzonder nuttig als uw wachtwoord is gestolen. Dan is het jammer dat alleen 2.6 procent van de actieve Twitter-accounts had in de tweede helft van 2 ten minste één 2021FA-methode ingeschakeld (was een nog magere 2.3 procent een jaar eerder). Daarvan gebruikte driekwart sms'jes als tweede authenticatiefactor.

Deze vorm van 2FA - die voor het eerst werd ontwikkeld in het midden van de jaren negentig (toen gebruikten ze daarvoor semafoons) - is verreweg de meest populaire 1990FA-methode geworden op e-mail- en socialemediaplatforms, online winkels en banken.

Uiteraard is het wachten op een sms met een code en het invoeren van de code na het invoeren van uw wachtwoord een handige manier om uw accountbeveiliging te verbeteren. Maar hoewel elke tweede factor veel beter is dan geen, is het al lang bekend dat 2FA via sms-berichten vatbaar is voor verschillende aanvallen, aangezien inkomende teksten niet-versleuteld zijn en relatief gemakkelijk kunnen worden onderschept, gelezen of omgeleid door vastberaden aanvallers. In 2016 heeft het National Institute of Standards and Technology (NIST) van de Verenigde Staten riep op om op sms gebaseerde 2FA uit te faseren.

De afgelopen jaren zijn er talloze meldingen geweest van aanvallers die toegang hebben verkregen tot de online accounts van mensen nadat ze bijvoorbeeld succesvol waren Sim-swap oplichting. Bij deze zwendelpraktijken misleiden criminelen telefoonmaatschappijen om het telefoonnummer van hun doelwit over te zetten naar een apparaat dat ze beheren. Van daaruit kunnen ze inbreken op de bank-, sociale media- en andere accounts van de slachtoffers die hetzelfde telefoonnummer gebruiken voor 2FA. Niemand minder dan voormalig Twitter-hoofd Jack Dorsey werd in 2019 het slachtoffer van deze aanval.

Door de jaren heen hebben beveiligingsonderzoekers, waaronder die van ESET, veel voorbeelden gevonden van malware die de 2FA-beveiliging van mensen kan omzeilen.

Bijvoorbeeld, lang geleden in 2016, Onderzoekers van ESET ontdekten een trojan voor Android-bankieren dat was het stelen van inloggegevens voor 20 apps voor mobiel bankieren. Het omzeilde sms-codes, de malware gaf alle ontvangen sms-berichten door aan de criminelen. Drie jaar later ontdekte ESET kwaadaardige apps die gebruikte nieuwe technieken om meldingen te lezen met eenmalige wachtwoorden (OTP's) die op het scherm van het apparaat verschijnen.

Twitter's eigen 2FA-beveiligingen en beveiligingshouding kwamen in 2020 onder de loep toen a vish aanval op zijn personeel heeft geleid tot kaping van zo'n 130 accounts behoren tot prominente figuren. Bij de hack ondermijnden de aanvallers de 2FA-beveiligingen van Twitter en gebruikten ze de accounts van Barack Obama, Elon Musk en Bill Gates en anderen om een ​​Bitcoin-zwendel te verspreiden.

Om de hack uit te voeren, bootsten criminelen de legitieme VPN-website van Twitter na, waar medewerkers hun inloggegevens invoeren. Zodra aanvallers inloggegevens invoerden in de echte Twitter VPN en wachtten tot werknemers eenmalige wachtwoorden ontvingen. Nadat de slachtoffers het wachtwoord in de nep-VPN hadden ingevuld, waren de hackers binnen.

Dus, wat zijn nu je 2FA-opties op Twitter?

Gebruik van gratis authenticatie-apps voor 2FA blijft gratis en is veel veiliger dan sms https://t.co/pFMdxWPlai

- Elon Musk (@elonmusk) 18 februari 2023

Er zijn twee andere belangrijke typen 2FA-authenticatie die Twitter ondersteunt en die veiliger zijn dan sms-berichten.

Ten eerste kunt u een authenticatie-app op het apparaat gebruiken, zoals Microsoft Authenticator of Google Authenticator, die solide beveiliging biedt en flexibeler is dan een hardwaresleutel (daarover later meer).

Authenticator-apps genereren een eenmalige code die u gebruikt om uw identiteit te bevestigen wanneer u inlogt op een website of app. Dit klinkt misschien niet zo heel anders dan SMS 2FA-authenticatie, maar het voordeel van de app is dat in plaats van dat er een code naar je wordt verzonden via een sms, de code in de app verschijnt en rechtstreeks aan het apparaat is gekoppeld, in plaats van aan je telefoonnummer .

Als gevolg hiervan maakt app-gebaseerde authenticatie de zaken aanzienlijk ingewikkelder voor iedereen die uw code wil lezen of stelen. (Malware die authenticatiecodes kan stelen is niet ongehoordechter.)

Twitter-app 2FA-instellingen vóór de wijziging

Als je je beveiligingsspel nog verder wilt verbeteren, overweeg dan om een ​​hardware-beveiligingssleutel aan te schaffen die je verbindt via USB, NFC of Bluetooth. Fysieke sleutels bieden een hoog beveiligingsniveau, vooral omdat de codes niet kunnen worden onderschept of omgeleid. Om in te breken op uw account, zouden criminelen de sleutel moeten stelen en uw inloggegevens moeten bemachtigen.

Een mogelijk nadeel is dat u de sleutel elke keer dat u wilt inloggen bij u moet dragen. Bovendien worden momenteel beschikbare sleutels niet universeel ondersteund door alle apparaten en platforms. Wees ook voorbereid op prijzen vanaf ongeveer US $ 25. Meer geavanceerde versies, zoals die met vingerafdrukherkenning, kunnen u meer dan $ 100 kosten.

Wat kun je nog meer doen om je Twitter-beveiliging te verbeteren?

Als u overstapt van sms-gebaseerde 2FA, moet u uw accountbeveiligings- en privacy-instellingen controleren. Stel onder andere een sterk en uniek wachtwoord in (als je er nog geen gebruikt) en overweeg deze te gebruiken stappen om veilig te blijven tijdens het gebruik van het platform.

En als je al een Twitter Blue-abonnee bent of van plan bent dit te worden, kun je duidelijk het beste SMS 2FA laten vallen ten gunste van een authenticator-app of een hardwaresleutel.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://www.welivesecurity.com/2023/03/20/twitter-free-sms-2fa-secure-account/