การเปลี่ยนแปลงของ Twitter ใน MFA

การเปลี่ยนแปลงของ Twitter ใน MFA

การเปลี่ยนแปลงของ Twitter ใน MFA: การย้ายครั้งนี้มีความหมายต่ออนาคตของการรับรองความถูกต้องอย่างไร

แถลงการณ์ล่าสุดของ Twitter เริ่มสั่นคลอนการรับรองหลายปัจจัย (MFA) และแพร่กระจายไปทั่ววงการวิทยาศาสตร์และเทคโนโลยี บริษัทประกาศว่าตั้งแต่วันที่ 20 มีนาคม 2023 เป็นต้นไปผู้ใช้จะไม่สามารถใช้การรับรองความถูกต้องแบบสองปัจจัย SMS (2FA) เว้นแต่จะสมัครสมาชิกแผน Twitter Blue ไว้ ($ 11 / เดือน) ในอดีต SMS ได้รับการกล่าวขานว่าเป็นกลไกที่มีแรงเสียดทานต่ำซึ่งลดฟังก์ชันการรักษาความปลอดภัยและการกู้คืนต่างๆ ให้กับผู้ให้บริการมือถือของผู้ใช้ได้

ประวัติล่าสุดแสดงให้เห็นว่า MFA ไม่ได้ถูกสร้างขึ้นมาเท่ากันทั้งหมด โดยเน้นที่จุดอ่อนใน 2FA ที่ใช้ SMS จากการโจมตี SIM Swapping และ Social Engineering นอกจากนี้ยังมีค่าใช้จ่ายที่ยากสำหรับบริษัทที่เลือกเปิดใช้งาน SMS 2FA

เมื่อมีการส่งรหัส SMS ไปยังอุปกรณ์การสื่อสารจะถูกถ่ายทอดผ่านบุคคลที่สาม เช่น บริษัทโทรศัพท์หรือบริการส่งข้อความ ข้อความเหล่านี้จะถูกสร้างขึ้นโดยอัตโนมัติเป็นส่วนหนึ่งของกระบวนการเข้าสู่ระบบ ในระดับเล็กนี่อาจเป็นค่าใช้จ่ายเล็กน้อยเมื่อเทียบกับวิธีการอื่นๆ อย่างไรก็ตาม สําหรับผู้ให้บริการรายใหญ่อย่าง Twitter การใช้กลไกเหล่านี้ในทางที่ผิดอาจเป็นข้อเสนอที่มีค่าใช้จ่ายสูง ผู้ไม่ประสงค์ดีสามารถใช้วิธีนี้โดยการสร้างกลุ่มบัญชีแล้วส่งข้อความ MFA ที่ไม่ได้รับในการโจมตี SMS Pumping

บัญชีที่ถูกกฎหมายอาจได้รับอันตรายจากสถานการณ์การจี้บัญชีหรือการขโมยตัวตน ผ่านการแลกเปลี่ยนซิมและวิศวกรรมสังคม แม้แต่ธุรกิจขนาดกลางและขนาดย่อม ค่าใช้จ่ายของบุคคลที่สามที่เกี่ยวข้องกับ SMS อาจเพิ่มขึ้น โดยเฉพาะอย่างยิ่งหากบริการนั้นเป็นเป้าหมายของการ Pumping

โชคดีที่การนำวิธี MFA สมัยใหม่ทางเลือกมาใช้ เช่น FIDO2/WebAuthn ผู้ให้บริการสามารถรักษาความง่ายในการใช้งานและความยืดหยุ่นในเวิร์กโฟลว์ MFA และลดค่าใช้จ่ายหลักและความเสี่ยงที่เกี่ยวข้องกับ SMS

อนาคตของ MFA กับ FIDO2 และ WebAuthn

มาตรฐาน WebAuthn หรือที่รู้จักกันในชื่อ FIDO2 อธิบายถึงวิธีการตรวจสอบสิทธิ์ที่ใช้งานง่ายและปลอดภัยในการเข้ารหัส ซึ่งมีความยืดหยุ่นทันสมัยและไม่จำเป็นต้องมีค่าใช้จ่ายเพิ่มเติมจากผู้ให้บริการ รองรับระบบปฏิบัติการและเบราว์เซอร์ที่ทันสมัยและสามารถใช้ประโยชน์จากฟีเจอร์การยืนยันตัวตนในตัวของอุปกรณ์ เช่น คอมพิวเตอร์และโทรศัพท์มือถือ และแม้กระทั่งตัวเลือกที่ปลอดภัยกว่า เช่น คีย์ความปลอดภัยภายนอก Yubico ซึ่งเป็นผู้คิดค้น YubiKey ที่เป็นมาตรฐานระดับโกลด์สำหรับคีย์ความปลอดภัยของฮาร์ดแวร์ และยังสร้างมาตรฐาน FIDO2 / WebAuthn อย่างต่อเนื่อง

ตั้งแต่กลางปี 2019 Twitter มีตัวเลือก WebAuthn สำหรับลูกค้าซึ่งเป็นแนวทาง MFA ที่เป็นที่ต้องการของพนักงานภายในของบริษัท นอกจากนี้ Twitter ยังสนับสนุนวิธี MFA เดียวที่ผู้ใช้สามารถเลือกได้ โดยไม่ต้องใช้หมายเลขโทรศัพท์ซึ่งจะช่วยเพิ่มความเป็นส่วนตัวและการไม่เปิดเผยตัวตน

WebAuthn เป็นมาตรฐาน MFA แบบป้องกันการฟิชชิ่งโดยพฤตินัยที่ช่วยให้ผู้ใช้สามารถเชื่อมโยงคีย์ความปลอดภัยหรืออุปกรณ์รักษาความปลอดภัยเข้ากับบริการที่หลากหลาย  เนื่องจากผู้ใช้มาพร้อมกับผู้ตรวจสอบและมาตรฐานนี้สามารถใช้งานได้ฟรี บริษัทสามารถให้ MFA ที่มีความปลอดภัยสูงโดยไม่มีค่าใช้จ่ายในการทำธุรกรรมอื่นได้ Twitter ได้ยกเลิกวิธีการ SMS 2FA สำหรับผู้ใช้ที่ไม่ใช่ Twitter Blue นั้นกำลังก้าวไปข้างหน้าอย่างกล้าหาญในการควบคุมต้นทุนและแนะนำผู้ใช้ให้ใช้วิธีการตรวจสอบสิทธิ์ที่มีประสิทธิภาพและใช้งานง่ายยิ่งขึ้น

เพื่อค้นหาว่า YubiKey ใดที่เหมาะกับคุณเราขอแนะนำให้ผู้ใช้ Twitter และคนอื่น ๆ ที่กำลังมองหาทางเลือก MFA ที่ทันสมัยสำหรับ SMS หรือแอปพลิเคชันที่ได้รับการรับรองเข้าร่วมแบบทดสอบของ YubiKey ทางเลือกที่ดีสำหรับผู้ใช้ Twitter คือชุดคีย์ความปลอดภัยที่อัปเดตล่าสุดซึ่งให้ความปลอดภัยสูงกับบัญชีออนไลน์ทั้งหมดด้วย FIDO Anti-Fishing MFA คุณสามารถดูตัวเลือกคีย์ความปลอดภัยทั้งหมดของเราและปัจจัยรูปร่างผ่านร้านค้าของเรา

อ้างอิง Yubico

สอบถามเพิ่มเติม

💬Line: @monsterconnect https://lin.ee/cCTeKBE

☎️Tel: 02-026-6664

📩Email: [email protected]

📝 Price List สินค้า https://bit.ly/3mSpuQY

🏢 Linkedin : https://www.linkedin.com/company/monster-connect-co-ltd/

📺 YouTube : https://www.youtube.com/c/MonsterConnectOfficial

📲 TikTok : https://www.tiktok.com/@monsteronlines

🌍 Website : www.monsterconnect.co.th

Avatar
Rujira Prommawat