13:39
19/2/2023

W weekend przez Twittera przetoczyła się fala hejtu, bo niektórzy użytkownicy (ci, którzy korzystają z najsłabszej formy 2FA, czyli dwuskładnikowego uwierzytelnienia) zobaczyli taki komunikat:

Wiele osób nie do końca poprawnie rozumie, co z tej zmiany wynika. Zanim jednak go wytłumaczmy — jeśli jesteście stałymi Czytelnikami Niebezpiecznika i widzieliście ten komunikat u siebie na koncie, to JESTEŚMY WAMI ROZCZAROWANI! Dlaczego, na zgubioną kulkę od myszki, dlaczego korzystacie z najsłabszej możliwej formy dwuskładnikowego uwierzytelnienia? Gdzie Wasz RIGCZ? A teraz wróćmy do meritum:

    1. Jeśli korzystasz z najsłabszej formy dwuskładnikowego uwierzytelnienia albo będziesz musiał zapłacić Twitterowi, żeby dalej z niej korzystać albo “stracisz dostęp do platformy”.

    2. Zmiana nie oznacza, że za dwuskładnikowe uwierzytelnienie trzeba będzie od teraz płacić. Za darmo i dla każdego dalej dostępne będą bezpieczniejsze warianty dwuskładnikowego uwierzytelnienia: przez aplikację (np. Google Authenticator) lub przy pomocy kluczy U2F.

    My od zawsze rekomendujemy zakup klucza U2F i ustawienie go jako drugi składnik nie tylko na Twitterze, ale także na koncie Google i Facebooka, oraz w innych serwisach. Wystarczy kupić jeden klucz. Dlaczego lepiej użyć klucza a nie aplikacji typu Authenticator czy kodów wysyłanych SMS-em? Bo tylko klucz U2F jest niepodatny na ataki phishingowe. Mówiąc wprost, nawet jeśli ktoś Was zphishuje, to konta nie przejmie. Jak to możliwe? To tłumaczymy na tym filmie:

    3. Nie jest do końca jasne, co się stanie 19 marca 2023. Czy osoby, które nie zmienią dwuskładnikowego uwierzytelnienia z kodów SMS na inny rodzaj (tj. apkę lub klucz U2F) stracą dostęp do swoich kont czy po prostu Twitter “po cichu” usunie im całkowicie “drugi składnik”.

Czy ludzie stracą dostęp do kont?

Aktualnie, ci którzy chcą odpiąć 2FA przez SMS są proszeni o dodanie aplikacji. Więc “flow”, w który wpada użytkownik dotknięty tą zmianą, jest dla niego korzystny. Wymusza na nim bezpieczniejszą formę dwuskładnikowego uwierzytelnienia.

Jeśli Twitter nie będzie po cichu wyłączał 19 marca dwuskładnikowego uwierzytelnienia użytkownikom (a np. blokował konto do momentu ustawienia aplikacji) to wprowadzona powinna pozytywnie wpłynąć na tę niewielką społeczność użytkowników Twittera korzystającą z 2FA, popychając ich do stosowania bezpieczniejszej formy dwuskładnikowego uwierzytelnienia.

Dlaczego Twitter usuwa kody 2FA via SMS

Powodem nie jest troska o bezpieczeństwo użytkowników, bo Twitter nie wyłącza przecież obsługi tych kodów, a zostawia ją tylko tym, którzy będą mu płacić. Powodem nie jest też sugerowany przez niektórych rachunek, który za wysyłkę takich SMS-ów użytkownikom korzystającym z 2FA zobaczył Elon Musk.

Wedle Elona Muska, zmiana podyktowana jest działaniami 390 operatorów telekomunikacyjnych (czasem wirtualnych), którzy celowo zakładali konta na Twitterze, konfigurowali na nich 2FA przez SMS na numery telefonów ze swojej puli i sztucznie wymuszali ich wysyłkę, na czym zarabiali (a Twitter tracił) aż 60 milionów dolarów rocznie.

Tu przypomnijmy, że operatorzy telekomunikacyjni rozliczają się między sobą tak, że to ten z operatorów, na numery którego terminowane jest połaczenie (lub SMS) wystawia rachunek wysyłającemu. Jeśli więc ktoś zmusił Twittera (non stop logując się i wylogowując) do wysyłki tysięcy SMS-ów, to potem za te tysiące SMS-ów od Twittera (a raczej operatora obsługującego Twittera) dostaje pieniądze. Ale to Twitter za to płaci.

Co robić, jak żyć?

Masz Twittera? Włącz dwuskładnikowe uwierzytelnienie jako aplikację (polecamy Google Authenticator) albo jako klucz U2F. Klucz to najbezpieczniejsza forma, ale trzeba na niego jednorazowo wydać ~150 PLN. Naszym zdaniem warto (tu wyjaśniamy dlaczego i do czego jeszcze taki klucz można wykorzystać)

Aplikacja jest bezpieczniejsza od kodów SMS-owych, bo nie jest podatna na ataki SIM swapingu. Uczciwie trzeba jednak przyznać, że te ataki stosowane są raczej przeciwko tzw. HVT (high value targets) a nie przeciwko byle kowalskiemu. Wymagają zachodu, są kosztowne i ryzykowne. W dodatku, przechodząc na aplikację trzeba pamiętać o tym, aby wybrać aplikację, która umożliwia wykonanie kopii bezpieczeństwa tzw. “seedów”, przy pomocy których generowane są zmieniające się w czasie kody OTP, czyli drugi składnik o który proszą serwisy. Bez kopii bezpieczeństwa, strata telefonu z aplikacją do drugiego składnika może być problemem.

Powyższy artykuł został opublikowany w ramach naszego newslettera CyberExpress. Zapisz się, aby wprost na swojego e-maila otrzymywać najważniejsze wydarzenia ze świata cyberbezpieczeństwa. Regularnie i zwięźle. No i za darmo :)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

49 komentarzy

Dodaj komentarz
  1. > 3. Nie jest do końca jasne, co się stanie 19 marca 2020

    Uwielbiam takie podróże w czasie :)

  2. SMS mają jednak i mocną stronę w niektórych scenariuszach. Pozwalają przesłać drugim kanałem informację o tym, jaka operacja jest autoryzowana. W przypadku U2F potwierdza się na ślepo. Nieistotne w serwisach używających 2FA tylko do logowania, ale sytuacja zmienia się np. przy zatwierdzaniu operacji w banku.

    • Klucze są do logowania (uwierzytelnienia) nie autoryzacji. Więc nie ma sytuacji w której “na ślepo” coś się nim potwierdza i dlatego też nie jest to rozwiązanie do autoryzacji operacji w bankowości.

    • Amerykański bank Morgan Stanley umożliwia uwierzytelnienie oraz autoryzację za pomocą kluczy U2F.
      https://www.morganstanley.com/what-we-do/wealth-management/online-security/authentication

      Bank of America umożliwia tylko autoryzację za pomocą kluczy U2F.
      https://www.bankofamerica.com/security-center/online-mobile-banking-privacy/usb-security-key/

    • (Do Citizen) Pod tymi linkami nie ma informacji o wykorzystaniu klucza do autoryzacji. W pierwszym z banków jest wykorzystywany jako czynnik uwierzytelniania podczas logowania. W drugim jest dodatkowym elementem autoryzacji, kolejną ale nie jedyną warstwą.

    • @ Karol
      Morgan Stanley w zakładce What is Multi-Factor Authentication? wyjaśnia jak to działa. Moim zdaniem jeśli klient potwierdza logowanie kluczem U2F (lub jedną z 3 innych metod) to nie musi dodatkowo potwierdzać transakcji. Jeśli klient wybierze opcję 3a to loguje się loginem oraz hasłem i wtedy niektóre transakcje musi potwierdzić kluczem U2F (lub jedną z 3 innych metod)
      3. In the “Two step login” tab, there will be three options:
      a. Don’t prompt at login (default): you will only be required to use MFA for certain transactions.
      b. Prompt unregistered devices at login: you will be required to use MFA when logging in from an unregistered device. c. Prompt all devices at login: you will be required to use MFA at every login

      W BOA główną metodą potwierdzania transakcji są kody SMS. Ponieważ w USA sieci komórkowe nie obejmują całego kraju to głównie dla osób poza zasięgiem stworzono możliwość autoryzacji transakcji kluczami U2F. Klienci BOA są z tego sposobu wdrożenia bardzo niezadowoleni – polecam dyskusję na Reddit.

      W USA nie ma przepisów podobnych do PSD2.

    • @citizen
      MS opisuje tylko proces autoryzacji (logowania) – nie wspomina nic nt. zatwierdzania transakcji – “moim zdaniem” to tylko gdybanie – trzeba by było albo znaleźć odpowiedni opis procedury transakcji potwierdzający lub zaprzeczający takiej możliwości, albo zrobić test samemu na koncie z podpiętym kluczem – z ich opisu wynika, że może być, tak jak opisałeś, ale nie musi.

      BoA wg opisu faktycznie używa kluczy do autoryzacji transakcji jako alternatywy dla sms-ów (lub ma bardzo niefortunnie sformułowany opis).

  3. 19 marca 2020? Chyba 2023. Autor żyje w różnych czasach jednocześnie, jak widać ;-).

    Swoją drogą, lepiej byłoby, gdybyście doradzali parę kluczy i z nią podawali odpowiedni koszt. Ktoś kupi za waszą radą ten jeden klucz, skonfiguruje, a później zgubi, czy uszkodzi, dokumentnie odcinając sobie dostęp do konta.

  4. To bardzo interesujące, ale przynajmniej w części polskich sieci SMS-y im nie działały (z pewnością Orange, na forum widziałem też wzmianki o T-Mobile).

  5. Ostrzeżenie!
    Nie ustawiaj na razie 2FA dla Aplikacji uwierzytelniającej bo stracisz dostęp do konta!
    Konfiguracja jest poprawna, ale suwak w ustawieniach TT jest wyłączony, nie wyłączysz go, ani nie przyjmuje żadnego kodu podczas pierwszego logowania i wyrzuca błędami. Elon musi naprawić ten swój portalik.

  6. „Nie jest do końca jasne, co się stanie 19 marca 2020.”

    To powinno być na Wayback Machine ;-) Ale zakładam, że chodziło o 2023.

  7. Mnie zastanowił sposób na zarobek. Całkiem przemyślany schemat. Ciekawe czy wielcy operatorzy jak tmobile plus czy play tez wpadliby na taki pomysl. Zalozyc tysiace kont i logowac sie na nie po to by dostac kase. Piekna sprawa

    • oni zakładają konta nie po to żeby zarabiać tak robią wszyscy operatorzy. tylko po to żeby wyłapać czy taki TT nie puszcza czasem SMSów autoryzacyjnych drogą którą nie fakturują tzw. greyroutem. 60 mln $ to nie jest dużo w skali globalnej za SMSy weryfikacyjne. Prawdopodobnie cały polski rynek SMS A2P jest wart więcej.

    • Wielcy operatorzy raczej tak się nie zeszmacą. Mają inne sposoby na nieporównywalnie większy zarobek. Jednak w kraju tak wielkim, jak USA oprócz kilku ogólnokrajowych operatorów (w tym T-Mobile USA) jest bardzo wielu operatorów, w tym wielu wirtualnych i to działających nawet lokalnie. Ich mogło kusić zarabianie w taki sposób

  8. Jak zrobić backup w Google Authenticator?

    • Musisz odczytać kod QR po kliknięciu w opcję eksportuj. Następnie należy zdekodować uzyskany ciąg znaków, są do tego programy na GitHub. W ten sposób uzyskasz serię sekretnych kluczy, które można zaimportować do dowolnej aplikacji TOTP. Możesz je wtedy mieć dodane w kilku aplikacjach na raz, lub po prostu zarchiwizowane w bezpiecznym miejscu.

    • Pobierz 2FA Authenticator (2FAS) z Google Play. Ma sync do Google Drive.
      Ten od Google to badziew – jak stracić kilka kont w jedną chwilę.

    • Polecam ciekawy artykuł na ten temat, jest nie tylko o Google Authenticator, ale generalnie o aplikacjach TOTP.

      How To Back Up The Google Authenticator App
      https://passwordbits.com/how-to-back-up-the-google-authenticator-app/

      Ja w momencie włączania 2FA zapisuję sobie sekret w postaci alfanumerycznej w zaszyfrowanym pliku.

    • Dzięki za pomocne rady.

  9. Biedny Twitter, to właśnie bardzo fajny komunikator. Ma bardziej przyjazne dla użytkowników zasady, nie banuje za zwykłę żarty jak czasami YT i FB

    • Ciekawe, kto cię banuje za “zwykłe żarty”. Może twoje żarty nie są aż tak zwykłe, jak mógłbyś sugerować.

  10. Wszystko fajnie z tymi kluczami U2F, ale dla zwykłego zjadacza chleba to użyteczność jest znikoma. Nie używam Twittera, nie używam Facebooka. Dodałem do Googla, konta MS i usługi Geforce NOW. Na urządzeniu mobilnym logowanie z kluczem działa po japońsku czyli “jakotako”. W GeForce NOW, można pomimo podpięcia klucza, jest jakiś problem i nie rozpoznaje sparowanych dongli.

    Tam gdzie taki autoryzacja byłaby najbardziej pożądana – banki widzimy tylko wypiętą w naszą stronę tylną część ciała. Podobnie do tematu dostawcy poczty e-mail, domy maklerskie czy usługi typu mobywatel, czy profil zaufany.

    Lista na stronie https://www.yubico.com/works-with-yubikey/catalog/ zawiera stosunkowo niewiele usług wykorzystywanych na co dzień przez Iksińskiego.

    Podajcie przekonujący powód wydania przez Iksińskiego 300 zł na klucz U2F, który wykorzysta do zabezpieczenia konta na googlu.

    • Gdzieś w tym wywiadzie Maciej Ogórkiewicz tłumaczy dlaczego banki nie są zainteresowane kluczami bezpieczeństwa.

      RK094 – CISO ING Bank Śląski, Maciej Ogórkiewicz | Rozmowa Kontrolowana
      https://www.youtube.com/watch?v=qKybHnOfeVI

    • Nie ma powodu żeby wydawać kasę na U2F, szczególnie że robi dokładnie to samo co keepass z pluginem do obsługi TOTP. Jeśli potrzebujesz dedykowanego urządzenia – kup używany telefon na portalu aukcyjnym i zainstaluj na nim keepass-a, wyjdzie taniej, a będziesz mógł jeszcze coś na “urządzeniu” porobić (nawet nie musi mieć karty SIM ani internetu)

      Jedyny powód to tylko kasa dla Google które mocno sponsoruje projekt i wciska do niego własne rozwiązania po to żeby zmonopolizować rynek – zastrasza użytkowników, korumpuje strony wymagające logowania i sponsoruje niusy

    • jest powód. bo rozwiazanie ktore podales jest do wyfiszowania. a klucz nie.

  11. A jak dla mnie słabe wytłumaczenie. 60mln rocznie dla Twittera to jakiś pikuś. Poza tym – jaki problem wyłapać konta, które ewidentnie nabijają SMS-y?

    No i zupełnie nie przekonuje mnie apka. Raz – mniej wygodna. Dwa – może jestem przeczulony ale jak pojawia się słowo “Google” w kontekście dbania o poufność i bezpieczeństwo, to zapala mi się żółta lampka ostrzegawcza.

    A U2F jest świetne, niech tylko cena spadnie do 15zł to będzie czymś więcej niż geekowskim gadżetem.

    • A kto tobie kaze korzystac z Google Authenticatora? Jest kilkanascie apek do tego samego i sam uzywalem na andku andOTP, teraz uzywam Aegis. Obydwa programy open source i sluza tylko do generowania kodow TOTP.

  12. Jest jeszcze jedna opcja, czyli klucz PKCS#12 w przeglądarce.

    Przechowywanie bezpłatne, malware ma trochę trudniej niż kraść hasła,
    tylko jakoś nie widać, żeby ktoś to wdrażał w usługach publicznych.
    A szkoda.

    Ponadto, jeśli komputer czy laptop ma klucz TPM w brzuchu, to klucza TPM w Yubico też musi kupować?
    Windows 11 podobno obowiązkowo wymaga TPM-2.0…

    PZDR

  13. Jako, że mam z rynkiem messagingowym do czynienia z doświadczenia pracy w różnych podmiotach odbiję piłkę dlaczego operatorzy zakładali fejkowe konta, żeby wysyłać SMSy weryfikacyjne(bo to jest prawdopodobnie prawda).

    Otóż system działa tak, że SMSy wysyłane są z reguły od Operatora A do Operatora B. Często przy SMSach A2P pośrednikiem jest Agregator, który posiada wiele umów z operatorami na wysyłanie za ich pośrednictwem SMSów. Operator zazwyczaj zarabia między 5, a 6 groszy za dostarczonego SMSa do swojego klienta.

    No i tutaj wchodzi odwieczna walka czyli tak zwane grey routy czyli sposoby na dostarczenie SMS A2P za darmo lub znacząco poniżej Kosztu. Agregatorzy oferujący firmom takim jak Twitter SMSy robią wszystko, żeby wysyłać SMSy jak najtaniej więc jeżeli mogą korzystać z grey routa to z niego skorzystają. A jak operator ma wyłapać grey routa we własnej sieci? No najłatwiej wziąć aktywować SIMkę w swojej sieci, założyć konto na TT na ten numer i sprawdzić dokładnie skąd przyszedł SMS i jeżeli okazuje się, że z greyrouta to można go załatać. Taką czynność należy robić pewnie raz na kwartał, żeby mieć mniej więcej kontrolę nad tym co się dzieje. Bo prawda jest taka, że jak załatasz jednego grey routa to agregatorzy jak szczury będą próbowali wejść innym i cię orżnąć.

    Mogłoby się wydawać, że duże firmy takie jak TT powinny korzystać z poważnych agregatorów, którzy nie przycinają na SMSach ale niestety tak nie jest. Nawet największe firmy wolą wybrać najtańszego śmieciarza, który gdyby mógł to by te SMSy wysyłał gołębiami pocztowymi z gruźlicą.

    Myślicie, że greyrouty są rzadkie? Wejdźcie w telefonie w wiadomości i sprawdźcie ile SMSów autoryzacyjnych dostaliście z zagranicznych numerów.

  14. Spoko. Tylko nie ma to jak polecać korzystanie z kluczy, które działają tylko z badziewnymi serwisami społecznościowymi.

  15. Motyc zawsze możesz użyć innej aplikacji są ich dziesiątki, np taki Aegis Authenticator, pozwala na eksport bazy do pliku na telefonie, jest na licencji GPLv3.

    • A ja bym chciał mieć jakieś jedno, sprawdzone rozwiązanie zamiast dziesiątek :-) Dla spokoju, żeby nie okazało się że firma OuthapSupperApp zaoferowała 3DHDUltraSecureAuth która po roku nie zostanie porzucona/niewspierana/płatna/dziurawa a dane nie wylądują na dyskietce w Mozambiku.

  16. Wytłumaczenie strat 60 mln dolarów jest słabe. Gdyby to była tak suma to wprowadziliby blokadę maks 10 smsów dziennie na uzytk. i ograniczyli koszty.

  17. Te klucze u2f ma usb to juz relikt. Najnowszy standard FIDO2 obsluguje WebAuthn i mozna uzywac odcisku palca, a nie jakiegos breloczka, ktorego mozna zgubic/zapomniec lub stracic.

    • A zastanawiałeś się, gdzie ten odcisk palca jest trzymany? W chmurze? Na urządzeniu? No więc właśnie. Też możesz go zgubić. Klucz ma tę zaletę, że możesz go ze spokojem odłożyć do sejfu, na półkę. I się nie psuje.

    • Tak działa choćby Microsoft Authenticator umożliwiając przejście na konto Microsoft bez hasła. Odcisk palca lub mapa twarzy (nie zdjęcie, jak w niektórych telefonach z Androidem) zostaje na urządzeniu. Sa też droższe klucze sprzętowe z czytnikiem linii papilarnych. Wymagają zasilania przez port USB-C (lepiej wziąć wersję z USB-C i ewentualnie podłączyć do zwykłego USB przez przejściówkę) lub mają własną baterię, jeśli działają także przez Bluetooth

  18. Nbzp, poczytajcie opinie w sklepie Play pod Google Authenticatorem. Ludzie nienawidzą tej apki, bo przy zmianie telefonu tracą dostęp do kont. Po zgubieniu telefonu tracą dostęp do kont. Google jest uparcie głupie w nieimplementowaniu backupu ustawień tej apki. Dlatego raczej polecajcie Microsoft Authenticator, który potrafi robić backup. Życie cyfrowe nie toczy się tylko tu i teraz. Warto pomyśleć co będzie za 2 lata. Niestety dzieci z Googla tak daleko swoimi rozumkami nie sięgają.

    • Microsoft Authenticator jest zdecydowanie lepszy i dodatkowo pozwala przejść na konto Microsoft bez hasła. Wtedy logowanie do konta Microsoft wymaga zatwierdzenia w apce Microsoft Authenticator, która musi być zabezpieczona biometrycznie. Oprócz tego można do tej apki dodać klasyczne tokeny U2F, choć można je dodać do hasła zapisanego w Pęku Kluczy iCloud

    • Wyszukaj sobie:
      Google Authenticator app export
      Kto nie robi kopii ten narzeka.

    • Ja na andka polecam Aegis lub 2FAS.

  19. Wielkie halo o nic. Twitterowicze zwalają winę na Muska nie zdając sobie sprawy że Musk wyświadczył im przysługę :–)

    • Musk narobił wielkiego kipiszu grożącego nawet upadkiem Twittera. Jednak w tym wypadku wyświadcza przysługę wyłączając U2F przez SMS

  20. Zdecydowanie nie wystarczy jeden klucz. Muszą być dwa i Google przy przechodzeniu na ochronę zaawansowaną wymaga 2 kluczy sprzętowych. Z tym, że w ostateczności jednym z kluczy może być telefon (klucz U2F jest wbudowany choćby w iPhone). Jednak i tak polecam dwa fizyczne klucze, a nawet trzy, bo klucz sprzętowy jest mały i niestety jest ryzyko jego zgubienia. Można go zredukować podpinając klucz do kluczy

    • Jeden klucz warto podpiąć do zwykłych kluczy.
      Do drugiego warto przypiąć jaskrawy brelok/zawieszkę/identyfikator. To znacząco ułatwia jego odnalezienie jeśli się gdzieś zapodzieje.
      Jeśli ktoś chroni coś bardzo, bardzo cennego to może pomyśleć o trzecim kluczu, który powinien być przechowywany w innej lokalizacji niż dwa pierwsze.

  21. a po kiego używać Twita Maskowego.. toż to pomyłka i porażka.
    Chłoptaś musi se przyrodzenie przedłużać.. :)

    inna sprawa, że bym na 100% nie używał 2FA na SMS

  22. Niestety, z punktu widzenia zwykłego użytkownika SMS okazuje się często lepszy niż Google Authenticator. Sam miałem GA i zrezygnowałem po tym, gdy uszkodził mi się telefon, a kody zapasowe do IG nie zadziałały. W praktyce, częściej zmieniamy telefony niż karty SIM, więc SMS daje większą szansę, że nie zostaniemy odcięci od Twittera/IG/Fb czy innej platformy.

    • Jakie kody zapasowe?
      Masz mieć kopię zapasową danych z authenticatora.

    • Jest np. Authy od Twilio, które synchronizuje się z chmurą i wystarczy zalogować się na nowym telefonie kodem SMS + hasłem, żeby przywrócić wszystkie konta. Ale coś za coś – potencjalnie poziom bezpieczeństwa przy takiej synchronizacji trochę spada.

Odpowiadasz na komentarz krwi

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: