Nedavna najava Tvitera počela je da potresa čamac višefaktorske autentifikacije (MFA), a talasi su se proširili širom sveta tehnologije. Kompanija je objavila da će počevši od 20. marta 2023., osim ako se korisnik ne pretplati na njegov Tvitter Blue program (pretplata od 11 USD mesečno), izgubiti pristup dvofaktorskoj autentifikaciji zasnovanoj na SMS-u (2FA). SMS je istorijski predstavljen kao mehanizam sa niskim trenjem bezbednosnih funkcija.
Nedavna istorija je pokazala da nisu svi MFA stvoreni jednaki, što je naglašeno slabostima u 2FA baziranoj na SMS-u od napada zamene SIM-a i društvenog inženjeringa. Postoji i veliki trošak koji dolazi za kompanije koje odluče da omoguće SMS 2FA.
Kada šaljete SMS kodove na uređaje, komunikacija se prenosi preko treće strane, poput telefonske kompanije ili servisa za razmenu poruka. Ove poruke su automatizovane kao deo toka prijavljivanja. U malom obimu, ovo može izgledati kao zanemarljiv trošak u poređenju sa drugim metodama. Međutim, za velike dobavljače usluga kao što je Tvitter, zloupotreba ovih mehanizama može biti veoma skupa ponuda. Loši akteri mogu da koriste ovu metodu tako što će kreirati flote naloga, a zatim poslati neodgovorene MFA poruke u SMS napadima.
Legitimni nalozi takođe mogu biti kompromitovani u scenarijima otmice naloga ili krađe identiteta putem zamene SIM kartice i društvenog inženjeringa. Čak i za mala i srednja preduzeća, troškovi trećih lica u vezi sa SMS-om mogu da se povećaju – posebno ako je usluga cilj pumpanja.
Legitimni nalozi takođe mogu biti kompromitovani u scenarijima otmice naloga ili krađe identiteta putem zamene SIM kartice i društvenog inženjeringa. Čak i za mala i srednja preduzeća, troškovi trećih lica u vezi sa SMS-om mogu da se povećaju – posebno ako je usluga cilj pumpanja.
Na sreću, usvajanjem alternativnih modernih MFA metoda kao što je FIDO2/VebAuthn, provajderi usluga mogu da zadrže lakoću korišćenja i fleksibilnost u svojim MFA tokovima rada i smanje velike troškove i rizike povezane sa SMS-om
Budućnost MFA sa FIDO2 i VebAuthn-om
WebAuthn standard, takođe poznat kao FIDO2, opisuje metode provere autentičnosti koje su prilagođene korisniku i kriptografski sigurne koje su fleksibilne, moderne i ne zahtievaju dodatne troškove za dobavljača usluga. Podržavaju ga svi moderni operativni sistemi i pretraživači i može da iskoristi ugrađene funkcije autentifikacije uređaja kao što su računari i telefoni – ili čak i sigurnije opcije kao što su spoljni bezbednosni ključevi. Yubico, pronalazač YubiKei-a, koji je zlatni standard za hardverske bezbednosne ključeve, takođe je kreirao i nastavlja da doprinosi standardima FIDO2/WebAuthn.
WebAuthn je de fakto MFA standard otporan na phishing koji omogućava krajnjim korisnicima da povežu svoje bezbednosne ključeve ili bezbednosne uređaje sa širokim spektrom usluga. Pošto korisnici donose sopstveni autentifikator, a standard je besplatan za korišćenje, kompanije mogu da obezbede veoma bezbednu MFA koja ne izaziva neočekivane transakcione troškove. Tvitter, u suštini ukidajući SMS 2FA metode za pretplatnike koji nisu Tvitter Blue, preduzima hrabar korak napred u kontroli njihovih troškova I u usmeravanju korisnika ka jačim, lakšim metodama autentifikacije.