Twitter изменил метод двухфакторной аутентификации, исключив отправку SMS

В конце мая текущего года представители Twitter сообщили о переходе на двухфакторную аутентификацию. Тогда авторизация проходила посредством отправки SMS-сообщения со специальным кодом, который нужно было вводить одновременно с паролем. Однако этот метод был не слишком удачным, поскольку многие операторы не поддерживали данную функцию.

В связи с этим в Twitter приняли решение внести некоторые изменения. «Традиционные протоколы двухфакторной аутентификации требуют наличия общего ключа пользователя и сервиса. Уязвимостью в реализации данных протоколов является тот факт, что этот ключ можно скомпрометировать в случае взлома сервера, - объясняет эксперт по безопасности Twitter Алекс Смолен (Alex Smolen). – Мы выбрали способ, устойчивый к компрометации конфиденциальных данных, хранящихся на сервере: Twitter не сохраняет ключ навсегда, а конфиденциальный материал, необходимый для запросов подтверждения логина, остается на телефоне» .

Для того чтобы воспользоваться новым способом верификации, пользователям необходимо загрузить последние версии приложения Twitter: версия 5.9 для iOS и 4.1.4 для Android.

Прежде всего пользователю предложат сохранить сгенерированный резервный код в безопасном месте, чтобы им можно было воспользоваться даже в случае кражи или поломки мобильного устройства. Затем подтверждение логина будет происходить каждый раз при посещении twitter.com посредством работы с приложением для соцсети.

«Во время входа в учетную запись ваш телефон генерирует асимметричный 2048-битный RSA-ключ, который сохраняет конфиденциальный ключ на устройстве и отправляет открытый ключ, сохраняемый Twitter как часть объекта пользователя на сервере», - объясняет процесс Смолен.

После этого при каждой попытке войти в учетную запись в Twitter с использованием имени и пароля пользователя, ему будет приходить уведомление с запросом подтверждения. Благодаря этому появится возможность подтвердить вход сразу в несколько учетных записей, управляемых пользователем. Кроме того, пользователь всегда сможет узнать с какого браузера и где была совершена несанкционированная попытка зайти в принадлежащую ему учетную запись.

Подробную информацию о новом способе верификации можно найти  здесь .