Perşembe, Ekim 3, 2024
Ana SayfaTeknoloji HaberleriTwitter'ın iki faktörlü kimlik doğrulama değişikliği "mantıklı değil"

Twitter’ın iki faktörlü kimlik doğrulama değişikliği “mantıklı değil”

Bir binada Twitter logosu

Twitter Cuma günü yaptığı açıklamada, 20 Mart’tan itibaren kullanıcılarının hesaplarını yalnızca Twitter Blue aboneliği için ödeme yapmaları halinde SMS tabanlı iki faktörlü kimlik doğrulama ile güvence altına almalarına izin vereceğini duyurdu. İki faktörlü kimlik doğrulama veya 2FA, kullanıcıların bir kullanıcı adı ve şifre ve ardından sayısal kod gibi ek bir “faktör” ile oturum açmasını gerektirir. Güvenlik uzmanları, insanların bu kodları almak için bir jeneratör uygulaması kullanmasını uzun süredir tavsiye ediyor. Ancak bunları SMS metin mesajlarıyla almak popüler bir alternatiftir, bu nedenle ücretsiz kullanıcılar için bu seçeneğin kaldırılması, güvenlik uzmanlarının kafalarını kaşımasına neden oldu.

Twitter’ın iki faktörlü hamlesi, Elon Musk’ın şirketi geçen yıl satın almasından bu yana bir dizi tartışmalı politika değişikliğinin sonuncusu. Şu anda Twitter hesaplarında mavi onay işareti almanın tek yolu olan ücretli Twitter Blue hizmeti, Android ve iOS’ta ayda 11 ABD doları ve yalnızca masaüstü aboneliği için daha ucuza mal oluyor. SMS tabanlı iki faktörlü kimlik doğrulamadan önyüklenen kullanıcılar, bir kimlik doğrulama uygulamasına veya fiziksel bir güvenlik anahtarına geçme seçeneğine sahip olacak.

Twitter, “Tarihsel olarak popüler bir 2FA biçimi olsa da, ne yazık ki, telefon numarası tabanlı 2FA’nın kötü aktörler tarafından kullanıldığını ve kötüye kullanıldığını gördük” diye yazdı. Blog yazısı Cuma akşamı yayınlandı. “Bugünden itibaren, Twitter Blue abonesi olmayan hesapların 2FA’nın kısa mesaj/SMS yöntemine kaydolmasına artık izin vermeyeceğiz.”

İçinde hesap güvenliği hakkında bir Temmuz 2022 raporu, Twitter, aktif kullanıcılarının yalnızca yüzde 2,6’sının herhangi bir türde iki faktörlü kimlik doğrulamanın etkinleştirildiğini söyledi. Bu kullanıcıların yaklaşık yüzde 75’i SMS sürümünü kullanıyordu. Neredeyse yüzde 29’u kimlik doğrulama uygulamaları kullanıyordu ve yüzde 1’den azı fiziksel bir kimlik doğrulama anahtarı eklemişti.

SMS tabanlı iki faktörlü kimlik doğrulama güvenli değildir çünkü saldırganlar hedeflerin telefon numaralarını ele geçirebilir veya metinleri kesmek için başka teknikler kullanabilir. Ancak güvenlik uzmanları, SMS iki faktörlü kullanmanın, ikinci bir kimlik doğrulama faktörünün etkinleştirilmemesine göre önemli ölçüde daha iyi olduğunu uzun süredir vurgulamaktadır.

Apple ve Google gibi teknoloji devleri, iki faktörlü SMS seçeneğini giderek artan bir şekilde ortadan kaldırdı ve kullanıcıları (genellikle aylar veya yıllar içinde) diğer kimlik doğrulama biçimlerine geçirdi. Araştırmacılar, Twitter’ın politika değişikliğinin, kullanıcılara geçişi tamamlamaları için çok az zaman vererek ve iki faktörlü SMS’leri birinci sınıf bir özellik gibi göstererek kullanıcıların kafasını karıştıracağından endişe ediyor.

“Twitter blogu, metin mesajlarını kullanan iki faktörlü kimlik doğrulamanın kötü kişiler tarafından sıklıkla kötüye kullanıldığını belirtmekte haklı. Diğer 2FA yöntemlerinden daha az güvenli olduğunu kabul ediyorum,” diyor Carnegie Mellon’un kullanılabilir gizlilik ve güvenlik laboratuvarı yöneticisi Lorrie Cranor. “Fakat motivasyonları güvenlikse, ücretli hesapları da güvende tutmak istemezler mi? Yalnızca ücretli hesaplar için daha az güvenli yönteme izin vermek mantıklı değil.”

RELATED ARTICLES

Popüler Konular