金曜日の遅い時間、Twitter は、テキスト メッセージの 2 要素認証 (2FA) を料金を支払わないアカウントから削除する新しいポリシーを発表しました。
ブログ投稿で、Twitter は、プレミアム Twitter Blue 機能に加入しているアカウントのみが、テキスト メッセージ ベースの 2FA の使用を許可すると述べました。 別のタイプの 2 要素認証に切り替えていない Twitter ユーザーは、3 月 20 日までにこの機能がアカウントから削除されます。
つまり、Twitter が携帯電話にテキスト メッセージ コードを送信してログインすることに依存している人は誰でも、2FA がオフになり、パスワードだけでアカウントにアクセスできるようになります。 簡単に推測できる Twitter パスワードを持っている場合、または別のサイトやサービスで同じパスワードを使用している場合は、遅かれ早かれ対策を講じる必要があります。
Twitter は、「Twitter で人々を安全に保つことに尽力している」と主張しています。 本当じゃない。 代わりに、企業が行った最も愚かなセキュリティ上の決定の 1 つをリアルタイムで見ています。
この新しい 2FA ポリシーがどのような理由で最初に明らかにされたのかは明らかではありません。 プラットフォーマーのゾーイ・シファー 後にTwitterで確認され、設立されました。 イーロン マスクによる 440 億ドルの買収以来、Twitter は 出血する現金 と従業員。 SMS 2FA を廃止する動きは、テキスト メッセージの送信が安くないことを考えると、会社の経費を節約するためだった可能性があります。 Twitterにコメントを求めたが、マスクはコミュニケーションチーム全体を解雇した.
ツイッターはその決定を正当化した そのブログ投稿、SMS 2FA は悪意のある人物によって悪用される可能性があると述べています。 これは、ハッカーが携帯電話会社を説得して被害者の電話番号をハッカーが制御するデバイスに割り当てる SIM スワップ攻撃などに当てはまります。 ハッカーは、個人の電話番号を乗っ取ることで、被害者になりすますことができます。また、ハッカーが被害者のオンライン アカウントにアクセスできるようにするテキスト メッセージ コードを受け取ることもできます。 しかし、SMS 2FA を Twitter Blue 加入者のみが利用できるようにしても、有料ユーザーが SIM スワップ攻撃から保護されるわけではありません。 どちらかといえば、有料ユーザーに SMS 2FA への依存を促すことで、電話番号が乗っ取られた場合に Twitter アカウントが乗っ取られる可能性が高くなります。
とはいえ、これは重要なことですが、SMS 2FA は、2FA をまったく使用しない場合よりもはるかに強力な保護をアカウントに提供します。 しかし、Twitter の新しいポリシーは、より安全な 2FA の使用をユーザーに奨励するものではありません。 実際、Mailchimp のような企業は、反対の (しかし正しい) アプローチを採用しています。 ユーザーの励まし 顧客の毎月の請求書を割引することで 2FA をオンにします。
希望の光は、Twitter が 2FA を完全に廃止していないことです。 Elon Musk に 1 銭も支払わなくても、強力な 2FA でアカウントを保護できます。
Mastodon などの代替の分散型サービスを選んで Twitter アカウントを放棄したかどうかに関係なく、誰かが侵入してあなたに代わってツイートし始めた場合に備えて、3 月 20 日までにアカウントを保護するための措置を講じる必要があります。 .
テキスト メッセージで送信される 2FA コードを使用する代わりに、アプリ ベースの 2FA が必要です。これは、はるかに安全で、テキスト メッセージを受信するのと同じくらい高速です。 (多くのオンライン サイト、サービス、およびアプリも、アプリベースの 2FA を提供しています。) コードをテキスト メッセージで携帯電話に送信する代わりに、携帯電話の認証アプリ (Duo、Authy、Google Authenticator など) を介してコードを生成できます。いくつか挙げると。 コードがデバイスから離れないため、これは非常に安全です。
画像クレジット: TechCrunch (スクリーンショット)
これを設定するには、まず認証アプリが携帯電話にインストールされていることを確認してください。 Twitter アカウントに移動し、次に移動します。 設定とプライバシー、 それから セキュリティとアカウント アクセス、 それから 安全. に乗ったら 二要素認証 設定、選択 認証アプリ. プロンプトに注意深く従ってください。開始するには、アカウントのパスワードを入力する必要がある場合があります。 完了すると、パスワードを使用してログインし、認証アプリから生成されたコードを使用できるようになります。
これは、Twitter アカウントにアクセスするためのはるかに安全な方法であるため、携帯電話を紛失した場合、アカウントに戻るのが非常に困難になる可能性があることを覚えておいてください. そのため、バックアップ コードを記録しておく必要があります。これにより、ロックアウトされた場合にアカウントにアクセスできるようになり、パスワード マネージャーに安全に保存されます。 バックアップ コードは、アプリベースの 2FA を設定した場所と同じ場所にあります。