Twitter, ужаленный взломом, требует от сотрудников использовать ключи безопасности

Опубликовано: 30 Марта, 2023
Twitter, ужаленный взломом, требует от сотрудников использовать ключи безопасности

После громкого взлома в 2020 году Twitter внедряет обязательную многофакторную аутентификацию для своих сотрудников. То, как они используют 2FA, согласно сообщению в блоге на официальной странице Twitter, требует, чтобы каждый сотрудник Twitter использовал ключи безопасности, которые объединяют ключи YubiKey 5 NFC и 5C NFC. Причина выбора этих конкретных ключей связана с их возможностью использования в USB на ноутбуках и NFC для устройств Android и iOS.

Ключи были распространены среди 5500 сотрудников по всему миру через службы корпоративной подписки и доставки Yubico. Кроме того, Twitter пришлось настроить свою внутреннюю сеть, чтобы сотрудники могли использовать систему единого входа (SSO) со своими ключами. В целом, процесс, согласно сообщению, занял около трех месяцев. Интерес в сообщении, по крайней мере, с точки зрения кибербезопасности, заключается в том, как Twitter нашел области для улучшения во время внедрения ключа безопасности.

Возможно, самая интригующая часть этого осознания содержится в следующем отрывке из сообщения в Твиттере:

Несмотря на то, что за последние несколько лет мы наблюдаем прогресс в системах, добавляющих поддержку ключей безопасности, все еще существуют системы, в которых ключи безопасности не работают должным образом. Настольные приложения, например, часто используют встроенные веб-браузеры для загрузки веб-экранов входа в систему SSO. К сожалению, многие из этих встроенных браузерных решений не поддерживают протокол WebAuthn, что делает невозможным использование ключей безопасности в таких ситуациях. В идеале настольные приложения должны просто использовать системный браузер по умолчанию, каждый из которых поддерживает ключи безопасности, для процессов входа в систему с помощью единого входа. Это дает дополнительные преимущества, такие как возможность использования менеджеров паролей и существующих сеансов единого входа.

Это утверждение также заслуживает особого внимания:

Удобство использования интерфейсов WebAuthn является ключом к их более широкому распространению. Службы, поддерживающие ключи безопасности, должны предоставлять базовые функции, такие как возможность переименовывать ключи, чтобы пользователям было легче их различать. Мы также сочли полезным, когда платформы позволяют пользователям указывать свой метод 2FA по умолчанию, чтобы пользователям не приходилось щелкать мышью, чтобы использовать свой ключ безопасности при каждом входе в систему.

Самая эффективная стратегия безопасности для любой организации — никогда не предполагать, что она полностью защищена. Необходимо постоянно тестировать внутреннюю и внешнюю безопасность, а также внедрять современные протоколы кибербезопасности. Чтобы действительно быть в безопасности, необходимо постоянно адаптироваться к ландшафту угроз. Злоумышленники настойчивы и всегда найдут способ проникнуть в сеть. Похоже, Twitter начинает это понимать.

Лучшее, на что можно надеяться, это просто воспрепятствовать неизбежному.