Key Takeaway
- Jenayah siber semakin meningkat selama hampir setengah dekad, dengan serangan pancingan data menjadi sangat bermasalah pada tahun lalu.
- Sejak 2016, Twitter telah mengalami beberapa serangan siber berprofil tinggi dan kini menawarkan pengguna pilihan kunci keselamatan fizikal.
- Syarikat mendakwa kaedah itu adalah salah satu cara terkuat untuk menjamin akaun.
Selepas hampir setengah dekad peningkatan jenayah siber dan setahun dicemari oleh pelanggaran berprofil tinggi, Twitter menawarkan ciri keselamatan baharu yang boleh membantu mengurangkan risiko serangan disasarkan pada akaun pengguna.
Menurut catatan blog yang diterbitkan pada 30 Jun, gergasi media sosial itu kini menawarkan pengguna pilihan untuk menjadikan kunci keselamatan fizikal kaedah tunggal mereka untuk pengesahan dua faktor (2FA)-langkah yang boleh membantu menjadikan akaun lebih banyak selamat sambil menghapuskan keperluan sebelumnya untuk kaedah sandaran yang lebih lemah.
Namun, pakar memberi amaran bahawa setiap kaedah 2FA datang dengan pertukaran.
"Masalahnya ialah tiada satu pun daripada [kaedah pengesahan] ini benar-benar mutlak seperti yang orang fikirkan," Joseph Steinberg, pakar keselamatan siber 25 tahun dan pengarang beberapa buku termasuk Cybersecurity for Dummies, memberitahu Lifewire oleh telefon.
Kunci Keselamatan Fizikal, Diterangkan
Menurut Steinberg, terdapat beberapa jenis pengesahan berbilang faktor-masing-masing mempunyai kelebihan dan kekurangan tersendiri.
Kunci keselamatan fizikal, seperti yang ditawarkan oleh Twitter, ialah peranti kecil yang perlu dipalamkan atau diselaraskan secara fizikal oleh pengguna, peranti peribadi mereka untuk log masuk ke akaun mereka-sama seperti kunci kereta. Ini menawarkan faedah menghalang penggodam daripada mengakses akaun dari jauh melalui serangan pancingan data atau perisian hasad.
…Tidak mungkin seseorang akan beralih sekarang apabila terdapat mekanisme yang lebih mudah yang dianggap cukup baik.
Menurut catatan blog Twitter, kunci "boleh membezakan tapak yang sah daripada yang berniat jahat dan menyekat percubaan pancingan data yang tidak dilakukan oleh SMS atau kod pengesahan."
Secara teorinya, kunci menawarkan penyelesaian keselamatan terkuat untuk pengguna-tetapi ia juga merupakan salah satu penyelesaian yang paling tidak mudah untuk pengguna harian.
"Kelemahan utama ialah anda kini perlu membawa kunci sebagai tambahan kepada telefon anda," jelas Steinberg. "Jadi, jika anda mahu tweet dari pantai, anda membawa telefon anda dan kunci keselamatan."
Steinberg juga memberi amaran bahawa kunci keselamatan fizikal membawa risiko hilang, yang boleh mengakibatkan pengguna dikunci daripada akaun mereka sendiri.
Mengimbangi Tukar Ganti
Kaedah pengesahan yang kurang selamat, seperti menghantar kod log masuk ke telefon bimbit anda, selalunya lebih mudah untuk pengguna berbanding kunci keselamatan fizikal-tetapi ia boleh membawa risiko yang lebih tinggi.
Steinberg berkata penggodam boleh memintas kod SMS melalui kaedah seperti pertukaran SIM, di mana pencuri mencuri nombor telefon pengguna dan menerima kod pada peranti mereka sendiri.
"Jika anda bergantung pada mesej teks dan seseorang entah bagaimana mencuri nombor telefon anda dan mula menerima mesej teks anda, anda menghadapi masalah kerana mereka akan mendapatkan kod anda dan mereka akan menjadi dapat menetapkan semula kata laluan anda," kata Steinberg.
Apl pengesah yang menjana kod log masuk sekali ialah satu lagi kaedah popular 2FA, tetapi ia masih membawa risiko untuk diakses oleh penggodam.
"Jika pengguna melog masuk ke tapak pancingan data dan mereka memasukkan kod itu, pancingan data kemudiannya mempunyai kod itu dan boleh menghantarnya ke tapak sebenar serta-merta," jelas Steinberg sambil menambah bahawa terdapat juga risiko kehilangan telefon dan oleh itu kehilangan akses kepada apl.
Kaedah yang lebih kompleks, seperti pengesahan cap jari biometrik, boleh membawa risiko.
"Cap jari anda berada di seluruh telefon daripada menyentuhnya," kata Steinberg sambil menjelaskan bahawa pencuri yang canggih boleh mengangkat cetakan anda dan menggunakannya untuk log masuk ke peranti. "Penderia cap jari tidak mempunyai cara untuk menentukan sama ada ia adalah manusia sebenar yang meletakkan jari mereka di sana, berbanding seseorang yang meletakkan imej cap jari yang telah diangkat dari telefon."
Menimbang Faedah
Disebabkan oleh kesulitan membawa kunci keselamatan fizikal tambahan, Steinberg berkata dia tidak melihat kebanyakan pengguna setiap hari membuat suis ditawarkan oleh Twitter.
Masalahnya ialah tiada satu pun daripada [kaedah pengesahan] ini benar-benar mutlak seperti yang orang fikirkan.
"Pengalaman saya ialah walaupun perkara yang menyusahkan kecil dalam hal keselamatan-melainkan jika seseorang telah dilanggar dan mengalami akibat yang serius-tidak mungkin seseorang akan beralih sekarang apabila terdapat mekanisme yang lebih mudah yang dianggap cukup baik," kata Steinberg.
Namun, Steinberg berkata kumpulan pengguna tertentu, seperti perniagaan dan individu berprofil tinggi, boleh mendapat manfaat daripada kunci keselamatan fizikal.
Walaupun tiada penyelesaian sempurna untuk melindungi akaun media sosial pengguna, Steinberg menegaskan bahawa sebarang bentuk pengesahan berbilang faktor adalah lebih baik daripada tiada, kerana akaun sosial sering digunakan untuk log masuk ke akaun lain yang berkaitan di seluruh platform.
"Jika anda tidak menggunakan pengesahan dua faktor hari ini untuk akaun media sosial anda-hidupkannya," kata Steinberg.
