Twitter wprowadził do swojej witryny technologię dwuskładnikowego uwierzytelniania się w połowie maja tego roku. Posiadacze kont mogą teraz decydować, czy oprócz podstawowej metody uwierzytelniania się (podanie hasła), chcą również skorzystać z dodatkowego zabezpieczenia - kodu SMS wysyłanego do telefonu komórkowego. Firma zdecydowała się na taki krok po serii ataków na konta użytkowników, które udowodniły, że same hasła nie zapewniają im dostatecznej ochrony.

Dodatkowa metoda ochrony kont spotkała się z życzliwym przyjęciem, jednak eksperci oceniają, że na dłuższą metę, w konfrontacji z bardzo zdeterminowanym światem cyberprzestępców, może się ona okazać niewystarczająca.

Zobacz również:

• WordPress 6.5 trafia na rynek. Oto 5 najważniejszych zmian
• Udostępniono bezpłatne narzędzie, które wykrywa treści generowane przez AI

Dla użytkownika indywidualnego, pobieranie kodu SMS przy każdej próbie logowania - szczególnie wtedy, gdy posiada on kilka kont - może być dość kłopotliwą czynnością. Firmy mogą tu mieć też określone problemy - muszą odpowiednio zarządzać numerami komórkowych telefonów i zdecydować, na jakie numery (skojarzone z określonymi kontami) mają być wysyłane kody SMS. W przypadku dużych przedsiębiorstw, posiadających setki służbowych komórek, których posiadacze założyli na Twitterze konta, może to być bardzo trudne.

Eksperci wskazują też na dwa słabe punkty takiego dwuskładnikowego uwierzytelniania się. Po pierwsze - wiele osób loguje się do swojego konta ze smartfonu za pośrednictwem firmowej aplikacji Twittera, która nie wymaga od użytkownika, aby ten podawał za każdym razem swoje poświadczenie. Tak więc to samo mobilne urządzenie bierze udział w procesie dwuskładnikowego uwierzytelniania. Oznacza to, że gdy urządzenie takie zostanie zgubione lub skradzione, droga do konta jest otwarta i bezpieczne dwuskładnikowe uwierzytelnianie się staje się fikcją.

Drugi słaby punkt polega na tym, że włamywacze opracują zapewne szkodliwe oprogramowanie malware atakujące smartfony, wykradające z nich kody SMS. Być może narzędzia takie już istnieją (np. przejmujące kartę SIM zainstalowaną w telefonie lub przekierowujące kod SMS do włamywacza) i jest tylko kwestią czasu, kiedy wejdą do akcji.

Podsumowując, eksperci radzą: dwuskładnikowe uwierzytelnienia jest dobre, ale na początek. Twitter powinien teraz pomyśleć nad innymi metodami ochrony kont, np. weryfikującymi numery IP urządzeń, które próbują zalogować się do usługi.