کمیته رکن چهارم – شرکت توئیتر اعلام کرده حسابهای کاربری حفاظت شده با کلیدهای امنیتی سختافزاری میتوانند از طریق دستگاههای اندرویدی یا آیفون، وارد این شبکه اجتماعی شوند. این شبکه بزرگ اجتماعی از سال ۲۰۱۸ میلادی قابلیت پشتیبانی از کلیدهای امنیتی سختافزاری را برای کاربران خود فراهم کرده تا بتوانند علاوه بر به کارگیری سایر ابزارهای احراز هویت دومرحلهای مثل پیامک یا کدی که توسط یک نرمافزار مخصوص تولید میشود، یک مانع امنیتی فیزیکی جدید هم به حسابهای کاربری خود اضافه کنند.
از کلیدهای امنیتی سختافزاری برای ورود به رایانهها و تلفن های همراه استفاده می شود. این کلیدها از حسابهای کاربری افراد در برابر باتهای خودکار، حملات هدفمند و فیشینگ محافظت می کنند. معمولاً کلیدهای امنیتی فیزیکی به اندازهای کوچک هستند که حتی میتوان آنها را در یک دسته کلید قرار داد. از آنجا که کاربران برای ورود به حسابهای کاربری خود باید این کلید فیزیکی را در اختیار داشته باشند، به این ترتیب حتی هکرهایی که در آن سوی جهان بوده و به نام کاربری و کلمه عبور شما دسترسی دارند، برای ورود به حساب کاربری تان باید این کلید فیزیکی را در اختیار داشته باشند.
بنابراین این کلیدهای امنیتی سختافزاری امکان اجرای بعضی از حملات و هکها را از بین می برند. با توجه به محدودیتهای فنی ایجاد شده، کاربرانی که حساب کاربری شان با کلید فیزیکی حفاظت شده است، امکان استفاده از آن با تلفن همراه را نداشته و فقط از طریق رایانه امکان استفاده از آن را دارند.
در سال ۲۰۱۹، توئیتر با استفاده از پروتکل WebAuthn این مشکل را تا حدی حل کرد زیرا این پروتکل امکان پشتیبانی از کلیدهای سختافزاری را بر روی مرورگرها و دستگاههای بیشتری فراهم میکند. در حال حاضر کاربرانی که حساب شان با این کلیدها حفاظت می شود میتوانند در صورت پشتیبانی از آن برای ورود به حساب کاربری شان با گوشی استفاده کنند (چندین نوع کلید امنیتی از جمله YubiKeys و Titan key وجود دارد که با وسایل مختلف کار میکنند).
توئیتر و شرکتهای دیگر از مدتها پیش به اشخاص برجسته مثل سیاستمداران، روزنامهنگاران و مقامهای رسمی توصیه میکنند که برای پیشگیری از اجرای حملات پیشرفته از این کلیدهای امنیتی استفاده کنند. در مطلبی نحوه تنظیم و استفاده از احراز هویت دومرحلهای و کلیدهای امنیتی توضیح داده شده است.
در اوایل سال ۲۰۲۰، توئیتر کلیدهای امنیتی سختافزاری را بین کارمندان خود توزیع کرد تا از بروز حملاتی شبیه حملهای که با سوءاستفاده از یک ابزار مدیریتی رخ داد، پیشگیری کند. مهاجمان در این حمله توانستند حسابهای کاربری مهم را تحت کنترل خویش گرفته تا یک طرح کلاهبرداری بزرگ را اجرا کنند. توئیتر پس از این حمله، هکر مشهور Peiter Zatko که با نام “Mudge” نیز شناخته میشود را به عنوان سرپرست امنیت این شرکت منصوب کرد.
منبع: techcrunch
