Twitter

Twitter は、Twitter Blue サブスクリプションの料金を支払わない限り、SMS 2 要素認証をサポートしないことを発表しました。ただし、以下で説明する多要素認証には、より安全なオプションがあります。

今週リリースされたブログ投稿で、Twitter は、SMS 2FA 認証を使用している Twitter Blue 以外のユーザーは、2023 年 3 月 20 日までに別の 2FA 方式に切り替えるか、無効にする必要があると述べました。

「すでに登録されている Twitter Blue 以外のサブスクライバーは、この方法を無効にして別の方法に登録するために 30 日間与えられます」と、Twitter は新しいブログ投稿で警告しました。

「2023 年 3 月 20 日以降、Twitter Blue 以外のサブスクライバーがテキスト メッセージを 2FA 方法として使用することを許可しなくなります。その時点で、テキスト メッセージの 2FA が有効なままのアカウントでは、2FA が無効になります。」

2021 年 7 月から 2021 年 12 月までのデータを含む Twitter のアカウント セキュリティ レポートに基づくと、ユーザーの 2.6% のみが 2 要素認証を使用しています。これらのユーザーのうち、74.4% が SMS 2FA を使用し、28.9% が認証アプリを使用し、0.5% がハードウェア セキュリティ キーを使用しています。

Elon Musk は、偽の 2FA SMS メッセージで年間 6,000 万ドルを失っているため、この変更を行っていると述べました。

イーロン・マスクは、SMS 2FA に年間 6,000 万ドルを費やしていると述べています。

Musk は後にこのポリシーの変更を支持し、認証アプリは「SMS よりもはるかに安全」であると述べ、モバイル デバイスでの SIM スワッピング攻撃のリスクに言及している可能性があります。

SIM スワッピング攻撃とは、攻撃者が通信事業者の従業員を騙したり賄賂を受け取ったりして、標的の携帯電話番号を制御し、攻撃者が制御する SIM カードに番号を再割り当てすることです。

これにより、攻撃者は自分のデバイスで電話番号を使用したり、SMS 多要素認証 (MFA) コードを含む被害者の SMS テキストを受信したり、資格情報の一部として電話番号を使用するアカウントにログインしたりできます。

Twitter Blue にサインアップする予定がない場合は、2FA 認証方法としてセキュリティ キーまたは認証アプリのいずれかを使用する必要があります。

多くの人は、この新しいポリシーがどのように処理され、展開されているかについて同意していませんが、最終的には、Twitter Blue に登録しないことを選択したユーザーのセキュリティが向上する可能性があります.

これは、アカウントを保護するために、より安全なオプションを使用する必要があるためです.

最も安全なオプションは、USB または NFC 接続を備えた小型デバイスであるGoogle TitanYubikey などのハードウェア セキュリティ キーを使用して、2FA 要求に自動的に応答し、アカウントにサインインすることです。

それらはコンピューターに接続し、アカウントにログインするために所有する必要がある物理デバイスであるため、最も安全であると考えられています。

したがって、誰かがあなたの資格情報にアクセスした場合、たとえ高度な中間者フィッシング攻撃SIM スワッピング攻撃によって 2FA トークンを盗んだとしても、2FA をバイパスすることはできません。

もう 1 つのオプションは、 Google AuthenticatorMicrosoft AuthenticatorAuthyなどの 2 要素認証アプリを使用することです。

Web サイトで 2 要素/多要素認証を設定すると、認証アプリでスキャンした QR コードがサイトに表示されます。スキャンすると、ウェブサイトがアプリに登録され、アカウントにログインするためにウェブサイトに送信する必要がある 2FA コードが生成されます。

脅威アクターが資格情報にアクセスした場合、モバイル アプリによって生成されたコードにアクセスできないため、ログインできなくなります。

認証アプリの問題は、携帯電話を紛失すると、2FA コードへのアクセスも失われ、サイトへのアクセスを回復するのが難しくなり、時間がかかることです。

ただし、Microsoft Authenticator と Authy には、2FA 設定をクラウドにバックアップする機能が含まれているため、デバイスを紛失またはワイプした場合に 2FA 設定を復元できます。

したがって、どちらのアプリも認証アプリとして最適です。

ただし、Authy を使用している場合は、別のデバイスにコードを転送しない場合は、[マルチデバイスを許可] 設定を無効にしてください。電話番号が盗まれた場合、Authy アカウントへのアクセスに使用される可能性があります。

使用している認証方法に関係なく、Twitter のセキュリティ レポートによると、2FA によってアカウントのセキュリティが向上しているにもかかわらず、あまりにも多くの人が 2FA でアカウントを保護していません。

使用するすべてのオンライン アカウント (Twitter を含む) で 2FA を有効にし、オーセンティケーターまたはハードウェア セキュリティ キーを使用することを強くお勧めします。