私の背景: 私は、私が「使用可能なセキュリティ」と呼んでいるものに取り組んでいるガジェット エンジニアです。 私はこのトピックに取りつかれています。開発が他の人々の生活に具体的に影響を与える可能性があることに起因し、コンピューティング体験をより単純にし、同時にアカウントをより適切なものにします.
この投稿には個人的な考えが含まれています。 それは、特に私の新しい雇用主に関連して、私とは対照的に、他の誰かや組織を意味するものではありません. この投稿の理由は、クロニクル セキュリティと使用可能なガジェットの交差点について他の人々を教育し、私の見解を作成することです。 これ以上、これが組織や企業を代表していると言ってハイパーリンクしたり、引用したりしないでください.
何が起こっているの?
今日より一足早く、Twitter はテキストによる歌唱メッセージを廃止すると発表しました。 Twitter Blueを購読していないアカウントの2回認証。 確かに、Twitter はすでにこの代替案をユーザーに伝えています:
それはほんのいくつかの理由のための大規模な取引です.
まず、新しい所有者の努力にもかかわらず、Twitter は非常に重要で影響力のあるサービスであり、多くの必要不可欠で影響力のあるサービスです。強力なユーザー。 私たちは、ツイートが非常に影響力のあるニュースの叙事詩である可能性があるという真実に気を配りすぎています。 特定の Twitter クロニクルが危険にさらされると、正しい世界の混乱と闘争を引き起こす可能性があります。もつ。 今から 1 か月後の 3 月 19 日までに、Twitter で 2FA を使用しているアカウントの約 75% が 2FA によって保護されなくなります1. それは計り知れません.
しかし、おそらくさらに興味深いことに、Twitter からのこの決定は、2 つのセキュリティ ポスチャに魅了されたセキュリティ ポスチャを考慮に入れたことのない多くの人がいることに起因する大きな取引です。 -認証と記録のセキュリティについて説明します。 他の多くの人々が、Twitter のクロニクル と流行中の 2 回の再カウント認証
のこのアナウンス手法について質問しています。 。 他の何人かの人々は、脅迫されて Twitter Blue を入手したり、個人的に攻撃を受けていると感じています.誰もがもう 1 つのサブスクリプションの現金を持っており、Twitter での最新の開発のほとんどは非常に二極化している. 」 (以下) は、一時停止することと一時停止しないこと、テキストによる単一メッセージ 2 再カウント認証 (以下、「SMS 2FA」) の利点、Twitter がこの決定を下した理由、Twitter が最も復元できる可能性が高い方法です。 SMS 2FA から無料ユーザーへの喜びを勝ち取ること、そして、ラウンドアバウト デバイスのパスキーが、Twitter を愛するサービスのクロニクル セキュリティの答えとなる理由
二回認証 The Story Securityはtransparency.twitterに記載。 com のコメント:2 回の再カウント認証 (2FA) は、確かに記録侵害に対する最も強力な保護の 1 つです。 2FA を有効にすると、たとえ Chronicle のパスワードが侵害されたとしても (おそらく、他の Web サイトで Twitter のパスワードが再利用されたため)、攻撃者は必要な追加の認証にアクセスせずに Chronicle へのログインを安全にブロックできます。 .
これは、2FA が美徳への斜めの魅力よりも合理的にそれを使用することの影響に焦点を当てていることに起因する 2FA の有効な説明です。認証に熱心な「コンポーネント」の。 その理由は特に、Twitter の 2FA が軽減している主要な脅威であるパスワードの再利用
に即座に対処するためです。
流行中の SMS ベースの 2FA は、SIM ハイジャックとフィッシング攻撃の両方に対して脆弱であるため、最も適切ではありません。 認証アプリは、SIM ハイジャックの脅威の一部を回避しますが、フィッシング攻撃の可能性については平穏です.明らかに。 SMS 2FA と「Authenticator apps」の 2FA の両方に境界があります。その使いやすさとその有効性にさらに魅了されることなく、セキュリティを軽減します。 地球上で「最も適切な」認証デバイスは、その影響が、どれだけアクセスしやすく、適切に動作するかによって制限されることは間違いありません。 特定の人が、Twitter が「認証アプリ」と呼ぶものをまとめるのにかかる時間とエネルギーが、採用を妨げています。 ハードウェアセキュリティキーが現金を指定するという現実は、人々の熱意を自然に制限します. さらに、使いやすさのフレーズで他の人を怒らせたり、他の人が電話を切り替えたり、携帯電話の金額でテキストを受信できなくなったりしたとき、飛行機に乗っているとき、または通常は一度だけ愛したりします.
その境界線にもかかわらず、SMS 2FA は、パスワードの使用と再利用によって引き起こされる損害を実際に削減するという点で、大成功を収めた叙事詩であると主張します.
SMS 2FA の利点テクノロジー信奉者をテストすることは、合理的に伝統的であり、1 つの愛を断言します。 SMS 2FA は呪われており、誰もそれを使用したいとは思っていません。」
私は、これらが十分なニュアンスを持っていない、または完全に他のさまざまな人々がさまざまな形の脅威に直面しています。 ここでの考え方は正しいものではありません。他の人々がクロニクル セキュリティ トリガーをどのように判断するかについての不正確さは、人を傷つけます。 私は手を貸すつもりはありませんが、「私はテクノロジーの欠陥にブランドを設定し、別のテクノロジーを使用できる立場にあるため、誰もそのテクノロジーの無駄遣いを平和的に勝ち取ることができないかもしれません.」
として通常知られている問題を解決するためにセキュリティ コミュニティが負担する深刻な手段脅威モデリング 。 可能性モデリングは、特定の人や人々のコミュニティ に対する実行可能な脅威 について考えるのに役立ちます。 およびそれらの脅威を軽減するための提案。 尤度モデリングは、セキュリティ グループが他の人々に明確に手を貸すのに役立ちます
パスワード スーパーバイザー ガジェットを使用しないこれらのグループ — そしてそれは たくさんの
人々 — 彼らが使用するサービス全体でほぼ継続的に同じパスワードを再利用しています。 それらの多くについて、SMS 2FA は、その欠陥にもかかわらず、指定を提供します。 特定の人の使用または再利用されたパスワードを、そのアカウントにアクセスするのに十分でないようにすることは、間違いなく正しいことです. )
また、次の点も考慮してください。金融機関は、適切な経済的損害を大規模に軽減しない限り、SMS 2FA を支持したり要求したりしません。 そして、スケールが重要です。 Twitter の透明性 Web ページのオンライン レビュー:
本質的に最新の報告期間 (2021 年 7 月から 2021 年 12 月) にわたって:
2FA活用
2.6% — レポート期間中にリアルな 2FA デバイスが 1 つも有効になっていない元気な Twitter アカウントの割合. 2FAの形態
SMS: 74.4%
認証アプリ: 28.9%
セキュリティ キー: 0.5%
おそらくあなたも見ているように、SMS 2FA は主に Twitter で最も普及している成熟した 2FA です。 これが SMS に起因する理由についての私の考え 2FA は、ある程度使いやすく、アクセスしやすいものです。かなり多くのフォーク ブランド サービスにサービスを提供する方法 Twitter の携帯電話の金額が好きで、テキスト メッセージで送信されたコードを入力する方法に関する簡単なガイドラインを解決できます。
こする: テキストの歌のメッセージを発送するには現金がかかりますTwitter の新しい所有者であるイーロン・マスクは、できる限り艦隊としてサービスから注目に値する名前を抽出しようとしています。 これは、より大きな収益を獲得するための提案を見つけること、Twitter の有料層を推進すること、そしてコストを削減すること、Twitter の乗組員のトリムスワスを発射することを愛することを意図しています。 無料ユーザーのために SMS 2FA を脇に置くことは、同社の最も近代的な指定スライス手段です。 @MKBHD への反論の中で、マスクは次のように書いています : Twitter は、年間 6,000 万ドルの不適切な 2FA SMS メッセージで携帯電話会社に騙されています。しかし、SMS の価格と詐欺が正しい問題であることは間違いありません。 業界にいる間、私はかなりの数の組織と協力して、テキストの歌のメッセージを送信するコストを削減するためのテストを行ってきましたが、彼らが挙げたコストは不可欠でした. とはいえ、特にそれがサービスの基本的な特徴であった後は、特典の価格を決定した人は誰もいませんでした. Twitter は、SMS 2FA を排除した後、SMS 2FA の最大の利点を復元する可能性が高いのではないでしょうか?
私たちが Twitter のセキュリティ エンジニアであると仮定してみましょう。個人のセキュリティを尊重したいのですが、SMS 2FA を無料の顧客に提供することはできなくなりました。 ワンタイムコードを電子メールで発送する
電子メールははるかにコストがかかるSMS 2FA の使いやすさのほとんどを保護します。 サービスは、認証アプリケーション に使用する電子メール アドレスについて、特定の人に合理的に問い合わせることができます 、まだ購入していない場合。 次に、このサービスは、特定の人物を関連付けて、テキストをチェックするのと同じように、電子メールのコードをテストすることができます。テキストの歌を介して送信されるワンタイムコードと同じ使いやすさの特徴があります. アプリ」は、本質的に時間に基づいたコードミル の正直な枠組みではありません
伝統的に、まとめる時間に基づいた 2FA のローテーション コード。特定のガジェットに「認証アプリ」を追加し、その後、コード ジェネレーターと組み合わせて手順を適用します。
それはもはや正しいものではなく、多くの 2 つの支配的なモバイル コンピューティング プラットフォームの 1 つほどではありません。ランニングガジェットに。 「認証アプリ」を組み込む必要はありません。アプリや Web サイトは、ボタンやハイパーリンクを簡単に獲得して、新しいジェネレーターを作成できます。 (Twitter のパスワードを Apple のビルトイン パスワード スーパーバイザに保存する必要がある場合はいつでも、このハイパーリンクをチェックして、確認コードの作成がどれほど簡単かをテストしてください:
2 回の再カウント認証 (2FA) は、確かに記録侵害に対する最も強力な保護の 1 つです。 2FA を有効にすると、たとえ Chronicle のパスワードが侵害されたとしても (おそらく、他の Web サイトで Twitter のパスワードが再利用されたため)、攻撃者は必要な追加の認証にアクセスせずに Chronicle へのログインを安全にブロックできます。 .
これは、2FA が美徳への斜めの魅力よりも合理的にそれを使用することの影響に焦点を当てていることに起因する 2FA の有効な説明です。認証に熱心な「コンポーネント」の。 その理由は特に、Twitter の 2FA が軽減している主要な脅威であるパスワードの再利用
に即座に対処するためです。
流行中の SMS ベースの 2FA は、SIM ハイジャックとフィッシング攻撃の両方に対して脆弱であるため、最も適切ではありません。 認証アプリは、SIM ハイジャックの脅威の一部を回避しますが、フィッシング攻撃の可能性については平穏です.明らかに。 SMS 2FA と「Authenticator apps」の 2FA の両方に境界があります。その使いやすさとその有効性にさらに魅了されることなく、セキュリティを軽減します。 地球上で「最も適切な」認証デバイスは、その影響が、どれだけアクセスしやすく、適切に動作するかによって制限されることは間違いありません。 特定の人が、Twitter が「認証アプリ」と呼ぶものをまとめるのにかかる時間とエネルギーが、採用を妨げています。 ハードウェアセキュリティキーが現金を指定するという現実は、人々の熱意を自然に制限します. さらに、使いやすさのフレーズで他の人を怒らせたり、他の人が電話を切り替えたり、携帯電話の金額でテキストを受信できなくなったりしたとき、飛行機に乗っているとき、または通常は一度だけ愛したりします.
その境界線にもかかわらず、SMS 2FA は、パスワードの使用と再利用によって引き起こされる損害を実際に削減するという点で、大成功を収めた叙事詩であると主張します.
SMS 2FA の利点テクノロジー信奉者をテストすることは、合理的に伝統的であり、1 つの愛を断言します。 SMS 2FA は呪われており、誰もそれを使用したいとは思っていません。」
私は、これらが十分なニュアンスを持っていない、または完全に他のさまざまな人々がさまざまな形の脅威に直面しています。 ここでの考え方は正しいものではありません。他の人々がクロニクル セキュリティ トリガーをどのように判断するかについての不正確さは、人を傷つけます。 私は手を貸すつもりはありませんが、「私はテクノロジーの欠陥にブランドを設定し、別のテクノロジーを使用できる立場にあるため、誰もそのテクノロジーの無駄遣いを平和的に勝ち取ることができないかもしれません.」
として通常知られている問題を解決するためにセキュリティ コミュニティが負担する深刻な手段脅威モデリング 。 可能性モデリングは、特定の人や人々のコミュニティ に対する実行可能な脅威 について考えるのに役立ちます。 およびそれらの脅威を軽減するための提案。 尤度モデリングは、セキュリティ グループが他の人々に明確に手を貸すのに役立ちます
パスワード スーパーバイザー ガジェットを使用しないこれらのグループ — そしてそれは たくさんの
人々 — 彼らが使用するサービス全体でほぼ継続的に同じパスワードを再利用しています。 それらの多くについて、SMS 2FA は、その欠陥にもかかわらず、指定を提供します。 特定の人の使用または再利用されたパスワードを、そのアカウントにアクセスするのに十分でないようにすることは、間違いなく正しいことです. )
また、次の点も考慮してください。金融機関は、適切な経済的損害を大規模に軽減しない限り、SMS 2FA を支持したり要求したりしません。 そして、スケールが重要です。 Twitter の透明性 Web ページのオンライン レビュー:
本質的に最新の報告期間 (2021 年 7 月から 2021 年 12 月) にわたって:
2FA活用
2.6% — レポート期間中にリアルな 2FA デバイスが 1 つも有効になっていない元気な Twitter アカウントの割合. 2FAの形態
SMS: 74.4%
認証アプリ: 28.9%
セキュリティ キー: 0.5%
おそらくあなたも見ているように、SMS 2FA は主に Twitter で最も普及している成熟した 2FA です。 これが SMS に起因する理由についての私の考え 2FA は、ある程度使いやすく、アクセスしやすいものです。かなり多くのフォーク ブランド サービスにサービスを提供する方法 Twitter の携帯電話の金額が好きで、テキスト メッセージで送信されたコードを入力する方法に関する簡単なガイドラインを解決できます。
こする: テキストの歌のメッセージを発送するには現金がかかりますTwitter の新しい所有者であるイーロン・マスクは、できる限り艦隊としてサービスから注目に値する名前を抽出しようとしています。 これは、より大きな収益を獲得するための提案を見つけること、Twitter の有料層を推進すること、そしてコストを削減すること、Twitter の乗組員のトリムスワスを発射することを愛することを意図しています。 無料ユーザーのために SMS 2FA を脇に置くことは、同社の最も近代的な指定スライス手段です。 @MKBHD への反論の中で、マスクは次のように書いています : Twitter は、年間 6,000 万ドルの不適切な 2FA SMS メッセージで携帯電話会社に騙されています。しかし、SMS の価格と詐欺が正しい問題であることは間違いありません。 業界にいる間、私はかなりの数の組織と協力して、テキストの歌のメッセージを送信するコストを削減するためのテストを行ってきましたが、彼らが挙げたコストは不可欠でした. とはいえ、特にそれがサービスの基本的な特徴であった後は、特典の価格を決定した人は誰もいませんでした. Twitter は、SMS 2FA を排除した後、SMS 2FA の最大の利点を復元する可能性が高いのではないでしょうか?
私たちが Twitter のセキュリティ エンジニアであると仮定してみましょう。個人のセキュリティを尊重したいのですが、SMS 2FA を無料の顧客に提供することはできなくなりました。 ワンタイムコードを電子メールで発送する
電子メールははるかにコストがかかるSMS 2FA の使いやすさのほとんどを保護します。 サービスは、認証アプリケーション に使用する電子メール アドレスについて、特定の人に合理的に問い合わせることができます 、まだ購入していない場合。 次に、このサービスは、特定の人物を関連付けて、テキストをチェックするのと同じように、電子メールのコードをテストすることができます。テキストの歌を介して送信されるワンタイムコードと同じ使いやすさの特徴があります. アプリ」は、本質的に時間に基づいたコードミル の正直な枠組みではありません
伝統的に、まとめる時間に基づいた 2FA のローテーション コード。特定のガジェットに「認証アプリ」を追加し、その後、コード ジェネレーターと組み合わせて手順を適用します。
それはもはや正しいものではなく、多くの 2 つの支配的なモバイル コンピューティング プラットフォームの 1 つほどではありません。ランニングガジェットに。 「認証アプリ」を組み込む必要はありません。アプリや Web サイトは、ボタンやハイパーリンクを簡単に獲得して、新しいジェネレーターを作成できます。 (Twitter のパスワードを Apple のビルトイン パスワード スーパーバイザに保存する必要がある場合はいつでも、このハイパーリンクをチェックして、確認コードの作成がどれほど簡単かをテストしてください:
人々 — 彼らが使用するサービス全体でほぼ継続的に同じパスワードを再利用しています。 それらの多くについて、SMS 2FA は、その欠陥にもかかわらず、指定を提供します。 特定の人の使用または再利用されたパスワードを、そのアカウントにアクセスするのに十分でないようにすることは、間違いなく正しいことです. )
本質的に最新の報告期間 (2021 年 7 月から 2021 年 12 月) にわたって:
2FA活用
2.6% — レポート期間中にリアルな 2FA デバイスが 1 つも有効になっていない元気な Twitter アカウントの割合. 2FAの形態
SMS: 74.4%
認証アプリ: 28.9%
セキュリティ キー: 0.5%
Twitter の新しい所有者であるイーロン・マスクは、できる限り艦隊としてサービスから注目に値する名前を抽出しようとしています。 これは、より大きな収益を獲得するための提案を見つけること、Twitter の有料層を推進すること、そしてコストを削減すること、Twitter の乗組員のトリムスワスを発射することを愛することを意図しています。 無料ユーザーのために SMS 2FA を脇に置くことは、同社の最も近代的な指定スライス手段です。 @MKBHD への反論の中で、マスクは次のように書いています : Twitter は、年間 6,000 万ドルの不適切な 2FA SMS メッセージで携帯電話会社に騙されています。しかし、SMS の価格と詐欺が正しい問題であることは間違いありません。 業界にいる間、私はかなりの数の組織と協力して、テキストの歌のメッセージを送信するコストを削減するためのテストを行ってきましたが、彼らが挙げたコストは不可欠でした. とはいえ、特にそれがサービスの基本的な特徴であった後は、特典の価格を決定した人は誰もいませんでした. Twitter は、SMS 2FA を排除した後、SMS 2FA の最大の利点を復元する可能性が高いのではないでしょうか?
私たちが Twitter のセキュリティ エンジニアであると仮定してみましょう。個人のセキュリティを尊重したいのですが、SMS 2FA を無料の顧客に提供することはできなくなりました。 ワンタイムコードを電子メールで発送する
電子メールははるかにコストがかかるSMS 2FA の使いやすさのほとんどを保護します。 サービスは、認証アプリケーション に使用する電子メール アドレスについて、特定の人に合理的に問い合わせることができます 、まだ購入していない場合。 次に、このサービスは、特定の人物を関連付けて、テキストをチェックするのと同じように、電子メールのコードをテストすることができます。テキストの歌を介して送信されるワンタイムコードと同じ使いやすさの特徴があります. アプリ」は、本質的に時間に基づいたコードミル の正直な枠組みではありません
伝統的に、まとめる時間に基づいた 2FA のローテーション コード。特定のガジェットに「認証アプリ」を追加し、その後、コード ジェネレーターと組み合わせて手順を適用します。
それはもはや正しいものではなく、多くの 2 つの支配的なモバイル コンピューティング プラットフォームの 1 つほどではありません。ランニングガジェットに。 「認証アプリ」を組み込む必要はありません。アプリや Web サイトは、ボタンやハイパーリンクを簡単に獲得して、新しいジェネレーターを作成できます。 (Twitter のパスワードを Apple のビルトイン パスワード スーパーバイザに保存する必要がある場合はいつでも、このハイパーリンクをチェックして、確認コードの作成がどれほど簡単かをテストしてください:
ブループリントをiPhoneにアップ.長い間不適切なコードであると考えてください。) セットアップ後、AutoFill はコードを埋めるのに気を配ります.短期的には、ラウンドアバウトのデバイスでは、どちらも一時的なギャップです.
パスキーは前進する戦略です
この投稿を通して、パスワードベースの認証に加えて追加のセキュリティを追加することについての提案について議論してきました。 一方、パスワード自体は正しい再計算です 。 私たちの多くは、彼らがすべての年代記に堅実で奇妙なパスワードを使用していること、および彼らが誤って侵入することが決してないことを保証するために、彼らを正しい戦略に費やすために比類のない注意を払いたいと思っています。 罪深い実体へのパスワード。 このバーは、テクノロジーのカジュアルなユーザーにとって信じられないほど過剰なものですが、テクノロジーの愛好家や「セキュリティの専門家」でさえ、フィッシングの可能性があります.
パスキーは パスワードの置き換え. おそらく、タイトルと「pass-」接頭辞からそれがわかります。 パスキーは業界のコラボレーションであり、提唱者は Apple、Google、Microsoft を好み、採用者は PayPal と Stripe を愛用しています。 Twitter が 2FA で緩和している問題、つまりパスワードの再利用を解決します。 さらに、重要なことに、パスキーは今日存在するフィッシングを阻止します。 パスワードの場合のように、記録された資格情報が成熟している可能性があることを人間に尋ねるよりもむしろ、パスキーは作成されたサービスに対して安全に保証されます.
パスキーの動作をテストしたいときはいつでも、この 4 分間のセクションを見てください Apple の WWDC 2022 のセットから、パスキーとは何か、それらがどのように機能するか、なぜそれらが巨大な取引であるかを示します.
これを読んでいるときはいつでも、あなたはできる立場にあり、する準備ができています 「認証アプリ」をまとめます。 他のほとんどの人はそうではありません。 あなたが現金を受け取るためのデバイスにいる可能性があり、 の準備が十分に整っている可能性があること ハードウェア セキュリティ キーを握ります。 他のほとんどの人はそうではありません。 サービスに携帯電話の金額を与え、通常は 6 桁のコードを入力することは、かなり多くの人が一時停止することができ、一時停止する準備ができていることの 1 つです。 しかし、ラウンドアバウト デバイスでは、はるかに多くの人が携帯電話にパスキーを作成することに同意し、それを使用して信号を送信することに同意することができます。そうすることで、パスワードの再利用やフィッシングから保護されます.
開示する意味はありません。1 つの次元で万能な認証技術はありません。 例として、パスキーは個人所有のツールにアクセスできることを前提としており、アカウントでオンライン サービスを使用するすべての人がそのようなツールを満たしているわけではなく、スマートフォンが大好きです。 しかし、Twitter のユーザーの大多数にとって、パスキーは反論です。 私のマストドンクロニクル。 読んでくれてありがとう!
