Twitter telah mengumumkan bahwa itu tidak akan lagi mendukung otentikasi dua faktor SMS kecuali Anda membayar langganan Twitter Blue. Namun, ada opsi yang lebih aman untuk autentikasi multi-faktor, yang akan kami jelaskan di bawah.
Dalam posting blog yang dirilis minggu ini, Twitter mengatakan bahwa pengguna non-Twitter Blue yang menggunakan otentikasi SMS 2FA memiliki waktu hingga 20 Maret 2023 untuk beralih ke metode 2FA lain, atau akan dinonaktifkan.
“Pelanggan Non-Twitter Blue yang sudah terdaftar akan memiliki waktu 30 hari untuk menonaktifkan metode ini dan mendaftar di yang lain,” Twitter memperingatkan dalam yang baru. posting blog.
“Setelah 20 Maret 2023, kami tidak akan lagi mengizinkan pelanggan non-Twitter Blue untuk menggunakan pesan teks sebagai metode 2FA. Pada saat itu, akun dengan pesan teks 2FA yang masih diaktifkan akan dinonaktifkan.”
Berdasarkan Twitter laporan keamanan akun, yang mencakup data antara Juli 2021 dan Desember 2021, hanya 2,6% pengguna yang menggunakan autentikasi dua faktor. Dari pengguna tersebut, 74,4% menggunakan SMS 2FA, 28,9% menggunakan aplikasi autentikator, dan 0,5% menggunakan kunci keamanan perangkat keras.
Elon Musk mengatakan mereka membuat perubahan ini karena mereka kehilangan $60 juta per tahun karena pesan SMS palsu 2FA.
Musk nanti didukung perubahan kebijakan iniyang menyatakan bahwa aplikasi autentikasi “jauh lebih aman daripada SMS”, kemungkinan merujuk pada risiko serangan pertukaran SIM pada perangkat seluler.
Serangan pertukaran SIM adalah ketika aktor ancaman mengambil alih nomor ponsel target dengan menipu atau menyuap karyawan operator untuk menetapkan kembali nomor tersebut ke kartu SIM yang dikendalikan penyerang.
Ini memungkinkan pelaku ancaman untuk menggunakan nomor telepon di perangkat mereka sendiri, menerima teks SMS korban, termasuk kode otentikasi multi-faktor SMS (MFA), atau masuk ke akun yang menggunakan nomor telepon sebagai bagian dari kredensial.
Jika Anda tidak memiliki rencana untuk mendaftar ke Twitter Blue, Anda sekarang akan diminta untuk menggunakan kunci keamanan atau aplikasi autentikasi sebagai metode autentikasi 2FA Anda.
Meskipun banyak yang tidak setuju dengan bagaimana kebijakan baru ini ditangani dan diluncurkan, hal ini pada akhirnya dapat menghasilkan keamanan yang lebih baik bagi pengguna yang memilih untuk tidak berlangganan Twitter Blue.
Ini karena Anda akan dipaksa untuk menggunakan opsi yang lebih aman untuk mengamankan akun Anda.
Opsi yang paling aman adalah menggunakan kunci keamanan perangkat keras, seperti a GoogleTitan atau Yubikeyyang merupakan perangkat kecil dengan konektivitas USB atau NFC untuk merespons permintaan 2FA secara otomatis dan membuat Anda masuk ke akun.
Mereka dianggap paling aman karena merupakan perangkat fisik yang harus dicolokkan ke komputer dan menjadi milik Anda untuk memasukkan Anda ke akun Anda.
Oleh karena itu, jika ada yang mendapatkan akses ke kredensial Anda, mereka tidak dapat melewati 2FA bahkan jika mereka mencuri token 2FA Anda entah bagaimana, baik melalui lanjutan serangan phishing musuh di tengah atau Serangan pertukaran SIM.
Pilihan lainnya adalah menggunakan aplikasi autentikasi dua faktor, seperti Google Authenticator, Microsoft AuthenticatorDan Authy.
Saat menyiapkan autentikasi 2 faktor/multi faktor di situs web, situs tersebut akan menampilkan kode QR yang Anda pindai dengan aplikasi autentikasi. Setelah dipindai, situs web akan didaftarkan di aplikasi untuk menghasilkan kode 2FA yang harus diserahkan ke situs web untuk masuk ke akun Anda.
Jika pelaku ancaman mendapatkan akses ke kredensial Anda, mereka tidak akan memiliki akses ke kode yang dibuat oleh aplikasi seluler Anda dan karenanya tidak akan dapat masuk.
Masalah dengan aplikasi pengautentikasi adalah jika Anda kehilangan ponsel, Anda juga kehilangan akses ke kode 2FA, sehingga sulit dan memakan waktu untuk mendapatkan kembali akses ke situs.
Namun, Microsoft Authenticator dan Authy menyertakan kemampuan untuk mencadangkan pengaturan 2FA Anda ke cloud sehingga Anda dapat memulihkan pengaturan 2FA jika perangkat Anda hilang atau dihapus.
Oleh karena itu, salah satu aplikasi adalah pilihan yang sangat baik sebagai aplikasi autentikasi Anda.
Namun, jika menggunakan Authy, pastikan untuk menonaktifkan pengaturan ‘Izinkan Multi-perangkat’ saat tidak mentransfer kode ke perangkat lain, karena jika nomor telepon Anda dicuri, nomor tersebut berpotensi digunakan untuk mengakses akun Authy Anda.
Terlepas dari metode autentikasi yang Anda gunakan, laporan keamanan Twitter menunjukkan bahwa terlalu banyak orang yang tidak mengamankan akun mereka dengan 2FA, meskipun ini meningkatkan keamanan akun Anda.
Sangat disarankan untuk mengaktifkan 2FA di semua akun online yang Anda gunakan, termasuk Twitter, dan menggunakan autentikator atau kunci keamanan perangkat keras, karena pada akhirnya akan lebih aman.
