טוויטר הודיעה שתשנה את אפשרויות אימות החשבון (FA2) כך שהחל ממחר (שני), לא יתאפשר אימות באמצעות SMS. לטענת החברה, קיים ניצול לרעה של השימוש בהודעות SMS לאימות חשבון על ידי "גורמים זדוניים".
Effective March 20, 2023, only Twitter Blue subscribers will be able to use text messages as their two-factor authentication method. Other accounts can use an authentication app or security key for 2FA. Learn more here:https://t.co/wnT9Vuwh5n
— Twitter Support (@TwitterSupport) February 18, 2023
למרות האבטחה המוגבלת שמספקות הודעות SMS, השירות לא יופסק לחלוטין, אלא יתאפשר למי שמשלם דמי מנוי לטוויטר, בעלות של 8 או 11 דולרים לחודש. ללא אימות, האבטחה היחידה לחשבון תהיה באמצעות סיסמה פשוטה בלבד, שנחשבת לאבטחה ברמה נמוכה יחסית.
מומחי אבטחה מבקרים את המהלך, שעלול לפגע באבטחת החשבונות. לשיטתם, קל לעקוף את האבטחה באמצעות "תרמית SIM", שבה פורץ משכנע את חברת הסלולר שהוא אדם אחר, ומצליח לקבל כרטיס SIM חדש, ולקבל הודעות אימות במקומו.לעומת שימוש בסיסמה, שימוש בהודעות SMS לאימות עדיין מספק שיפור אבטחה.
מספר מומחי אבטחה תוהים, אם בטוויטר סבורים שאימות SMS אינו מאובטח מספיק, מדוע הוא ממשיך להתאפשר למנויים בתשלום?. התשובה לכך יכולה להגיע מהצד הכלכלי, משום שביטול הודעות SMS לאימות עשוי לחסוך לטוויטר עשרות מיליוני דולרים בשנה למפעילי הסלולר ברחבי העולם.
מאז רכישת טוויטר על ידי אילון מאסק, הכנסות הרשת נמצאות בירידה חדה וקיומה הכלכלי נמצא בסכנה, היות ועסקת הרכישה הטילה חלק מהחזר ההלוואות לביצוע הרכישה על החברה עצמה.
ביטול נוסף של שירות בחינם הוא הפיכת ממשק הגישה לשרתי טוויטר (API) לממשק בתשלום בלבד, ללא מתן גישה חינם. שינוי זה יפגע בתוכנות 'בוטים' בטוויטר, שמספקים שירותים שונים על גבי הרשת כמו חיבור שרשורים לקריאה רצופה, או איתור אנשי הקשר מטוויטר ברשת חברתית אחרת כמו מסטודון.
איך אפשר לאבטח את החשבון לאחר השינוי ?
נכון להיום, רוב משתמשי טוויטר נסמכים על סיסמה בלבד, ללא אימות נוסף. לאחר השינוי, יוכלו המנויים לבחור בין שימוש בהודעות SMS, אפליקציית אימות או מפתח פיזי דמוי כונן USB. שאר המשתמשים יוכלו לבחור בין אפליקציית אימות למפתח פיזי או להישאר באבטחה בסיסית בלבד של סיסמה.
אתר PC MAGAZINE פרסם רשימה של אפליקציות דרכן ניתן לבצע הגברה של אבטחה החשבון באמצעות קוד אימות, שלא נשען על הודעות SMS, אלא באמצעות האינטרנט.
