أعلنت تويتر يوم السبت أن المصادقة الثنائية عبر الرسائل القصيرة “2FA” (النصية) ستكون متاحًة فقط لأصحاب العلامة الزرقاء. وبالتالي، انتقد الخبراء موقع المدونات الصغيرة، قائلين أنه إذا كان الأمان هو الهدف الأساسي، فلمَ يستبعد المستخدمين الذي تم التحقق من هويتهم؟
المصادقة الثنائية النصية (عبر الرسائل القصيرة) تطلب من المستخدم أن يدخل الرمز الذي تلقاه عبر الرسالة النصية بعد تسجيل الدخول باسم المستخدم وكلمة السر. المصادقة الثنائية “2FA” هي خاصية أمان لتحمي حساب المستخدم من الدخول غير المصرح به.
Effective March 20, 2023, only Twitter Blue subscribers will be able to use text messages as their two-factor authentication method. Other accounts can use an authentication app or security key for 2FA. Learn more here:https://t.co/wnT9Vuwh5n
— Twitter Support (@TwitterSupport) February 18, 2023
ومع ذلك، مع التغير الأخير في سياسته، سيتمكن المستخدمون أصحاب اشتراك العلامة الزرقاء فقط من الوصول إلى المصادقة الثنائية عبر الرسائل النصية القصيرة “2FA”، وهذا سيجعل المستخدمين الآخرين يعتمدون على طرق أخرى مثل استخدام تطبيق مصادقة أو مفتاح أمان مادي.
كان الخبراء متخوفين من أن سياسة تويتر الجديدة ستربك المستخدمين عبر السماح لهم بوقت قليل للانتهاء من العملية الانتقالية، وجعل رسائل المصادقة القصيرة تبدو ميزة مميزة.
قال لوري كرانور، مدير مختبر كارنيجي ميلون للخصوصية والأمان: “تغريدة تويتر محقة في الإشارة إلى أن المصادقة الثنائية التي تستخدم الرسائل النصية كثيرًا ما يُساء استخدامها عبر العوامل السيئة. أتفق أنها أقل أمنًا عن وسائل المصادقة الثنائية الأخرى،”
تويتر تتوقف عن المصادقة الثنائية عبر الهاتف لأن الشركة وجدت أنه يتم استخدامها – وإساءة استخدامها – من قبل العوامل السيئة. تويتر، أحد أشهر منصات التواصل الاجتماعي، جعلت الأمر واضحًا أنه لن تكون هناك عمليات تسجيل جديدة في طريقة المصادقة الثنائية عبر “الرسائل النصية/الرسائل القصيرة”، إلا إذا كان المستخدمون من مشتركي العلامة الزرقاء في تويتر.
قال كرانور: “ولكن، إذا كان هدفهم هو الأمان، ألن يحتاجوا لجعل الحسابات المدفوعة آمنة أيضًا؟ إنه ليس منطقيًا السماح لطريقة أقل أمانًا للحسابات المدفوعة فقط،”
Twitter, three days ago: Turn off two-factor authentication or you will lose your account.
Twitter today: pic.twitter.com/ReasCuoDZA— Dígame Concejal (@RSGAT) February 20, 2023
بسبب عدم أمان المصادقة الثنائية عبر الرسائل النصية القصيرة، أوقف رواد المجال مثل أبل وجوجل اختيار هذا النوع من المصادقة، ونقلوا المستخدمين إلى طرق أخرى من المصادقة. في السنة الماضية، تم اختراق حساب ناشط “حياة السود مهمة”، ديراي مكيسون على تويتر بالرغم من تفعيل المصادقة الثنائية. نشر مكيسون بعد ذلك أن الهاجر أقنع شركة الإتصالات بإعادة توجيه كلمة المرور للمرة الواحدة (OTP) إلى شريحة جوال مختلفة بانتحال شخصيته في مكالمة هاتفية.
هذه الحادثة تظهر مدى ضعف المصادقة الثنائية عبر الرسائل النصية، وتعزز احتياج المستخدمين لتبني طرق أكثر أمانًا للمصادقة لمحاية حساباتهم من الهجمات السيبرانية.
سياسة أخرى مثيرة للجدل في عصر ماسك
إن هذا التغيير في السياسة إضافة جديدة لمجموعة القرارات المثيرة للجدل التي قام بها تويتر منذ تولي الملياردير التكنولوجي إيلون ماسك إدراته في السنة الماضية.
Twitter Blue، وهي الطريقة الوحيدة للحصول على شارة التحقق من الهوية أو “العلامة الزرقاء”، تم تقدميها من قبل تويتر في نوفمبر 2022، بعد أن اشترى ماسك الشركة بشهر مقابل 44 مليار دولار أمريكي في أكتوبر. الخدمة التي تعتمد على الاشتراك تكلف 11 دولار أمريكي شهريًا لمستخدمي أندرويد وiOS، و8 دولار أمريكي شهريًا لمستخدمي أجهزة سطح المكتب.
تقديم “العلامة الزرقاء” التي تعتمد على الاشتراك أدى إلى انتقادات وتهكنات حول أصالة شارة التحقق.
قامت المستخدمة هيدي بريونيس بالتغريد: “سأترك اشتراكي في Twitter Blue ينتهي. الأمر لم يستحق. على الأقل اجعلها دون إعلانات يا إلون. لقد جربت أيضًا تغيير اسمي مرتين ولم أحصل على شارتي الزرقاء أبدًا مجددًا. هناك الكثير من المجهود يجب أن تبذله لتحصل على ال8 دولار خاصتي،”
“سياسة مربكة”
الخبراء قلقين حيال الإرباك الذي سيحدث بسبب سياسة تويتر الجديدة تلك، والوقت المسموح به لإنهاء هذا الانتقال من المصادقة الثنائية النصية إلى طريقة أخرى ليس بكبير.
قال جيم فينتون، مستشار الخصوصية والأمن المستقل للهوية: “في ظاهر الأمر، يبدو هذا بمثابة درجة جيدة من الاهتمام بأمان المستخدمين، ولكن إذا دفعت لTwitter Blue–فإنك، بالتالي، عميل مهتم باستخدامه لتويتر ومن يجب أن تهتم به تويتر أكثر شيء- يمكنك أن تستمر في استخدام طريقة المصادقة الأقل أمانًا، أليس كذلك؟”
لم توضح الشركة بعد ما سيحدث إذا لم يلغِ المستخدمون المصادقة الثنائية عبر الرسائل النصية القصيرة قبل الموعد الأخير في 20 مارس. لم يستطع الخبراء إيجاد سبب منطقي بين السبب وتطبيق تويتر للسياسة الجديدة.
قال فينتون: “وإذا لم تكن مشترك في twitter blue، وقاموا بتخفيض أمانك إلى مجرد المصادقة عبر كلمة السر، فسيكونوا قد قالوا فقط أنهم سيتخذوا وسيلة لتحسين أمان المستخدمين، ولكنهم قاموا بالعكس تمامًا،”
صرح فينتون بأن رسالة تويتر تعني أنهم يستبدلون طريقة المصادقة الحالية بطريقة جديدة لا تحتاج لمفتاح أمان للجهاز. ومع ذلك، فإن استثناء Twitter Blue سيظل غير منطقي.
