Twitter는 사용자에게 말합니다: 안전하지 않은 2FA를 계속 사용하려면 비용을 지불하십시오

지저귐은 발표 2FA(XNUMX단계 인증) 시스템에 대한 흥미로운 변화입니다.

변경 사항은 약 한 달의 시간, 다음과 같은 짧은 doggerel로 매우 간단하게 요약할 수 있습니다.

 텍스트를 사용하는 것은 2FA를 수행하는 데 안전하지 않으므로 계속 사용하려면 비용을 지불해야 합니다.

Twitter의 발표가 날짜와 요일 계산이 다소 모호하기 때문에 위에서 "약 한 달의 시간"이라고 말했습니다.

2023년 02월 15일자 제품 발표 게시판에는 문자 메시지(SMS) 기반의 2FA 사용자가 "30일 이내에 이 방법을 비활성화하고 다른 방법에 등록하십시오".

30일 기간에 발표일을 포함하면 SMS 기반 2FA가 2023-03-16 목요일에 중단됨을 의미합니다.

30일 기간이 다음 종일 시작 시 시작된다고 가정하면 SMS 2FA가 2023-03-17 금요일에 중지될 것으로 예상할 수 있습니다.

그러나 게시판에는 “20년 2023월 2일 이후에는 Twitter Blue 구독자가 아닌 사용자가 문자 메시지를 2FA 방법으로 사용하는 것을 더 이상 허용하지 않습니다. 이때 문자 메시지 XNUMXFA가 활성화된 계정은 비활성화됩니다.”

그것이 정확히 맞다면 SMS 기반 2FA는 21년 2022월 XNUMX일 화요일(미공개 시간대)에 종료되지만, 우리의 조언은 당신이 들키지 않도록 가능한 가장 짧은 해석을 취하는 것입니다.

.s-버튼+.s-버튼 { 여백-왼쪽: .3125rem; } .s-버튼 { 전환: 모든 .15초 선형; 글꼴 크기: .875rem; 라인 높이: 1.5; 색상: #f2f2f2; 글꼴 패밀리: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; 글꼴 두께: 400; 글꼴 스타일: 일반; 디스플레이: 인라인 블록; 패딩: .3125rem 1.25rem; 커서: 포인터; 텍스트 정렬: 가운데; 텍스트 장식: 없음; 테두리: 1px 솔리드 #005bc8; 테두리 반경: 3px; 배경색: #005bc8; 텍스트 그림자: 없음; } .s-button:hover { 텍스트 장식: 없음; 색상: #fff; 테두리 색상: #002d62; 배경색: #002d62; } .s-버튼-흰색, .s-버튼-흰색:hover { 색상: #005bc8 !중요; 테두리 색상: #fff; 배경색: #fff; } .s-ad-sophos-mdr { 글꼴 크기: 1rem; 라인 높이: 1.5; 색상: #242629; 글꼴 패밀리: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; 글꼴 두께: 400; 글꼴 스타일: 일반; 위치: 상대; 최대 너비: 769px; 여백: 15px 자동; 패딩: 30px 30px 25px; 전환: 상자 그림자 .25s 큐빅 베지어( .645, .045, .355, 1 ); 텍스트 정렬: 가운데; 배경색: #0d141d; background-repeat: 반복 없음; 배경 위치: 50%; 배경 크기: 표지; 상자 그림자: 0 0 0 0 0 투명 배경색: #005bc8; 배경 이미지: 없음; 배경 위치: 0 0; } .s-ad-sophos-mdr__title { 글꼴 크기: 2rem; 줄 높이: 1.125; 여백-하단: 4px; 색상: #fff; } .s-ad-sophos-mdr__text { 글꼴 패밀리: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; 글꼴 두께: 400; 글꼴 스타일: 일반; 글꼴 크기: 17px; 색상: #fff; } .s-ad-sophos-mdr__action { 여백 상단: 15px; } .s-ad-sophos-mdr__action .s-버튼 { 색상: #fff; } .s-ad-sophos-mdr__link-wrapper { 텍스트 장식: 없음; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { 위치: 절대; 상단: 15px; 오른쪽: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { 디스플레이: 인라인 블록; 너비: 64px; 높이: 11px; 수직 정렬: 상단; background-repeat: 반복 없음; 배경 크기: 64px 11px; } .s-ad-sophos-mdr__title { 글꼴 패밀리: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; 글꼴 두께: 400; 글꼴 스타일: 일반; 글꼴 크기: 28px; 글꼴 두께: 700; 라인 높이: 1; 여백-하단: 10px; 텍스트 정렬: 왼쪽; } .s-ad-sophos-mdr__title svg { 최대 너비: 100%; } .s-ad-sophos-mdr__text { 글꼴 크기: 16px; 라인 높이: 1.25; 텍스트 정렬: 왼쪽; } .s-ad-sophos-mdr__action { 텍스트 정렬: 오른쪽; } .s-ad-sophos-mdr .s-버튼 { 테두리 반경: 20px; } @미디어(최소 너비:769픽셀) { .s-ad-sophos-mdr__text { 오른쪽 여백: 140픽셀; } .s-ad-sophos-mdr__action { 위치: 절대; 오른쪽: 30px; 하단: 30px; } } @미디어 (최대 너비:768px) { .s-ad-sophos-mdr { 패딩 상단: 50px; } .s-ad-sophos-mdr__title { 글꼴 크기: 1.625rem; } .s-ad-sophos-mdr__text { 글꼴 크기: 16px; } .s-ad-sophos-mdr { 패딩 상단: 30px; } }

안전하지 않은 것으로 간주되는 SMS

간단히 말해 Twitter는 몇 년 전 Reddit이 그랬던 것처럼 SMS를 통해 전송된 일회성 보안 코드가 더 이상 안전하지 않다고 결정했습니다. "안타깝게도 우리는 전화번호 기반 2FA가 나쁜 행위자들에 의해 사용되고 남용되는 것을 보았습니다."

SMS 기반 2FA 코드에 대한 주된 반대는 결정된 사이버 범죄자들이 다른 사람의 전화 번호로 프로그래밍된 교체 SIM 카드를 제공하기 위해 이동 전화 회사의 직원을 속이거나, 회유하거나, 단순히 뇌물을 주는 방법을 배웠다는 것입니다.

분실, 파손 또는 도난당한 SIM 카드를 합법적으로 교체하는 것은 분명히 휴대폰 네트워크의 바람직한 기능입니다. 그렇지 않으면 SIM을 변경할 때마다 새 전화 번호를 받아야 합니다.

그러나 일부 사기꾼이 일반적으로 2FA 로그인 코드를 얻기 위한 매우 구체적인 목표를 가지고 다른 사람의 번호를 "인수"하는 사회 공학 기술을 쉽게 배웠기 때문에 문자 메시지가 2FA 소스로 나쁜 평판을 얻었습니다. 비밀.

이러한 종류의 범죄는 전문 용어로 다음과 같이 알려져 있습니다. SIM 스와핑, 하지만 전화번호는 한 번에 하나의 SIM 카드에만 프로그래밍할 수 있다는 점을 감안하면 엄밀히 말하면 어떤 종류의 교환도 아닙니다.

따라서 휴대전화 회사에서 SIM을 "교체"하면 이전 SIM이 수명을 다해 더 이상 작동하지 않기 때문에 실제로는 완전한 대체품입니다.

물론 휴대전화를 도난당해 SIM을 교체하는 경우 전화번호를 복원하고 도둑이 내 돈으로 전화를 걸거나 내 정보를 엿들을 수 없도록 하는 훌륭한 보안 기능입니다. 메시지 및 통화.

그러나 상황이 역전되어 사기꾼이 SIM 카드를 불법적으로 탈취하는 경우 범죄자가 로그인 코드를 포함한 메시지를 수신하기 시작하고 자신의 전화를 사용할 수 없기 때문에 이 "기능"은 이중 책임이 됩니다. 문제를 보고하기 위해!

이것이 정말 보안에 관한 것입니까?

이 변화는 정말 보안에 관한 것입니까, 아니면 단순히 보내야 하는 문자 메시지의 수를 줄임으로써 IT 운영을 단순화하고 비용을 절감하는 것을 목표로 하는 Twitter입니까?

우리는 회사가 정말로 SMS 기반 로그인 인증을 중단하는 것에 대해 진지하게 생각한다면 모든 사용자가 보다 안전한 형태의 2FA로 전환하도록 강요할 것이라고 의심합니다.

그러나 아이러니하게도 Twitter Blue 서비스에 비용을 지불하는 사용자는 계정이 사이버 범죄자에게 훨씬 더 매력적인 표적이 될 것으로 의심되는 유명 사용자 또는 인기 사용자를 포함하는 것으로 보이는 그룹입니다.

... 다른 모든 사람에게 충분히 안전하지 않은 것으로 간주되는 바로 그 2FA 프로세스를 계속 사용할 수 있습니다.

SIM 스왑 공격은 종종 "노새"(사이버 범죄를 수행하기 위해 직접 나타날 위험을 감수할 만큼 충분히 의지가 있거나 필사적인 사이버 갱단 구성원 또는 "계열사")를 보내는 것과 관련되기 때문에 범죄자가 대량으로 실행하기 어렵습니다. 특정 번호를 확보하기 위해 위조 ID로 휴대전화 판매점에 방문합니다.

다시 말해, SIM 스와핑 공격은 범죄자가 이미 사용자 이름과 암호를 알고 있고 자신이 탈취할 계정의 가치가 낮다고 생각하는 계정을 기반으로 계획되고 계획되고 표적이 되는 경우가 많습니다. 시간, 노력 및 행동에 휘말릴 위험을 감수할 가치가 있습니다.

따라서 Twitter Blue를 사용하기로 결정했다면 허용되더라도 SMS 기반 2FA를 계속 사용하지 않는 것이 좋습니다. SIM 교환 사이버 갱단이 공격합니다.

Twitter 발표의 또 다른 중요한 측면은 회사가 더 이상 SMS를 통해 2FA 코드를 무료로 보내지 않고 보안 문제를 이유로 인용하지만 일단 문자 메시지를 보내지 않으면 전화 번호를 삭제하지 않는다는 것입니다.

트위터가 더 이상 귀하의 번호를 필요로 하지 않고 귀하가 처음에 로그인 보안을 개선하기 위한 목적으로 특별히 사용된다는 이해를 바탕으로 제공했더라도 귀하가 직접 로그인하여 삭제해야 한다는 점을 기억해야 합니다.

무엇을해야 하는가?

이미 Twitter Blue 회원이거나 가입할 계획이 있는 경우, 어쨌든 SMS 기반 2FA에서 전환하는 것을 고려하십시오. 위에서 언급했듯이 SIM 교환 공격은 대량으로 수행하기 까다롭기 때문에 표적이 되는 경향이 있습니다. 따라서 SMS 기반 로그인 코드가 Twitter의 나머지 부분에 대해 충분히 안전하지 않은 경우 더 작고 더 많은 선택 사용자 그룹에 속하게 되면 훨씬 더 안전하지 않게 됩니다.
SMS 2FA가 켜져 있는 Blue Twitter 사용자가 아닌 경우, 대신 앱 기반 2FA로 전환하는 것이 좋습니다. 2FA의 소소한 불편함을 디지털 생활에 받아들이기로 이미 결정한 보안에 민감한 소수의 사람이라면 단순히 2FA를 중단하고 일반 암호 인증으로 돌아가지 마십시오. 사이버 보안 트렌드 세터로서 앞장서십시오!
2FA 메시지용으로 특별히 Twitter에 전화번호를 제공한 경우, 가서 제거하는 것을 잊지 마십시오. Twitter는 저장된 전화번호를 자동으로 삭제하지 않습니다.
이미 앱 기반 인증을 사용하고 있다면 2FA 코드는 피싱에 대한 SMS 메시지보다 안전하지 않습니다. 앱 기반 2FA 코드는 일반적으로 휴대전화의 잠금 코드로 보호되며(코드 시퀀스는 휴대전화에 안전하게 저장된 '시드' 번호를 기반으로 하기 때문에) 다른 사람의 휴대전화에서 계산할 수 없습니다. 그들의 장치에. 그러나 비밀번호와 함께 가짜 웹사이트에 최신 로그인 코드를 입력하여 실수로 공개한 경우 해당 코드가 앱에서 온 것이든 문자 메시지를 통해 온 것이든 상관없이 사기꾼에게 필요한 모든 것을 제공한 것입니다.
휴대전화의 모바일 서비스가 예기치 않게 끊긴 경우, SIM을 교체한 경우 즉시 조사하십시오. 2FA 코드를 위해 전화를 사용하지 않는 경우에도 귀하의 번호를 제어할 수 있는 사기꾼은 귀하의 이름으로 메시지를 보내고 받을 수 있으며 귀하를 가장하여 전화를 걸고 받을 수 있습니다. 휴대폰 판매점에 직접 방문할 준비를 하고 가능하면 신분증과 계좌 영수증을 지참하십시오.
휴대폰 SIM에 PIN 코드를 설정하지 않은 경우 지금 그렇게 하는 것을 고려해 보십시오. 적절한 잠금 코드를 설정했다고 가정하면 휴대폰을 훔친 도둑이 잠금을 해제할 수 없을 것입니다. 그들이 단순히 SIM을 빼서 다른 장치에 삽입하여 통화와 메시지를 이어받는 것을 쉽게 만들지 마십시오. 휴대전화를 재부팅하거나 전원을 끈 후 전원을 켤 때만 PIN을 입력하면 되므로 노력이 최소화됩니다.

그런데 SMS 기반 2FA에 익숙하고 앱 기반 2FA가 충분히 "다르기" 때문에 마스터하기 어려울까 걱정된다면 일반적으로 앱 기반 2FA 코드에도 전화가 필요하다는 점을 기억하세요. 로그인 워크플로우는 전혀 변경되지 않습니다.

휴대전화의 잠금을 해제하는 대신 문자 메시지로 코드가 도착할 때까지 기다린 다음 해당 코드를 브라우저에 입력합니다.

...전화를 잠금 해제하고 인증 앱을 열고 거기에서 코드를 읽고 대신 브라우저에 입력합니다. (숫자는 일반적으로 30초마다 변경되므로 재사용할 수 없습니다.)

PS. 무료 모바일 용 소포스 인터셉트 X 보안 앱(사용 가능 iOS 및 Android)에는 앱 기반 2FA를 지원하는 거의 모든 온라인 서비스에서 작동하는 인증자 구성 요소가 포함되어 있습니다. (일반적으로 사용되는 시스템을 TOTP라고 합니다. 시간 기반 일회용 암호.)