В феврале 2023 года Twitter объявил, что двухфакторная аутентификация (2FA) по СМС станет премиальной функцией для аккаунтов Twitter Blue. Вот почему логика компании, лежащая в основе этого решения, не имеет смысла с точки зрения безопасности, и почему эта функция вам все равно не нужна.

Twitter заявил, что вскоре уберет двухфакторную аутентификацию по СМС для бесплатных аккаунтов, превратив ее в функцию, доступную только подписчикам премиального предложения Twitter Blue, которое стоит 8 долларов в месяц. Это означает, что у любых пользователей, которые не оплачивают подписку Blue и полагаются на Twitter для отправки им СМС-кода для завершения процесса входа, эта функция будет отключена и удалена из их аккаунтов к 20 марта. Пароль их аккаунта станет единственным препятствием для доступа.

Помимо сугубо финансовых причин (предположительно, Twitter несет расходы на отправку СМС), превращение двухфакторной аутентификации по СМС в платную привилегию является странным решением со стороны Twitter.

Twitter оправдал изменение политики, справедливо заявив, что двухфакторная аутентификация по СМС может быть использована злоумышленниками. Действительно имели место «SIM-своп атаки», когда хакеры убеждали операторов связи присвоить номер телефона жертвы устройству, которое они контролируют, и, взяв под контроль номер телефона человека, хакер мог выдавать себя за жертву, а также получать СМС-коды для ее аккаунта. Но предоставление двухфакторной аутентификации по СМС только подписчикам Twitter Blue просто делает их более уязвимыми для атак такого рода.

Twitter заявляет, что «стремится обеспечить безопасность людей в Twitter», и это правда, что двухфакторная аутентификация по СМС лучше, чем полное ее отсутствие, но его политика никак не поощряет пользователей переходить на более безопасную форму 2FA – возможно, потому, что это означает, что Twitter ничего не получит.

Переход на 2FA на основе приложения — это решение

Вместо того чтобы полагаться на двухфакторную аутентификацию по СМС, пользователи Twitter должны использовать мобильное приложение-аутентификатор, такое как Duo, Authy, или Google Authenticator, или встроенный в iOS аутентификатор паролей. Двухфакторная аутентификация на основе приложения является гораздо более безопасной альтернативой, поскольку она никогда не покидает ваше устройство и не требует получения кода, отправленного на ваш телефон в виде текстового сообщения.

Чтобы использовать этот метод для защиты вашего аккаунта в Twitter, сначала убедитесь, что у вас установлено выбранное вами приложение-аутентификатор на вашем iPhone. Затем выполните следующие шаги:

1. Запустите приложение Twitter или войдите на веб-сайт Twitter.
2. Перейдите в Настройки и конфиденциальность вашего аккаунта, которые находятся в выпадающем меню Настройки и поддержка.
3. Выберите Безопасность и доступ к аккаунту -> Безопасность.
4. Выберите Двухфакторная аутентификация.
5. Установите флажок рядом с Приложение аутентификации.
6. Следуйте инструкциям, вводя пароль вашего аккаунта по запросу.

После выполнения вышеуказанных шагов вы сможете войти в свой аккаунт Twitter, используя свой пароль в сочетании с кодом, сгенерированным вашим приложением-аутентификатором. Только обязательно сделайте резервную копию своих кодов – если у вас ее нет и вы потеряете свой телефон, вам будет гораздо сложнее получить доступ к своим аккаунтам с 2FA.