Социальная сеть X (бывший Twitter) предупредила пользователей, что до 10 ноября они должны повторно зарегистрировать свои аппаратные ключи безопасности и passkey, которые используются для двухфакторной аутентификации (2ФА). Если не сделать этого вовремя, доступ к аккаунтам будет заблокирован.
Предупреждение касается только тех, кто использует для 2ФА passkey или аппаратные ключи вроде YubiKey. Оба метода считаются надежной защитой от фишинговых атак, так как подтверждение личности происходит через криптографические ключи, хранящиеся на устройстве или в ОС, а не через традиционные пароли, которые могут похитить инфостилеры и фишеры.
«До 10 ноября мы просим все аккаунты, использующие ключи безопасности для 2ФА, повторно зарегистрировать их для продолжения доступа к X», — сообщает официальный аккаунт Safety.
В компании уточнили, что можно перерегистрировать существующий ключ или добавить новый. Также разработчики напомнили, что если зарегистрировать новый ключ, все остальные перестанут работать.
После 10 ноября аккаунты без обновленных ключей будут заблокированы. Разблокировать их можно тремя способами: перерегистрировать ключ безопасности или passkey, переключиться на другой метод 2ФА (например, приложение-аутентификатор) или полностью отключить двухфакторную аутентификацию (хотя X настоятельно не рекомендует этот вариант).
Представители компании подчеркивают, что происходящее не связано с каким-либо киберинцидентом. Причина, по которой пользователей просят обновить ключи, проста: компания окончательно мигрирует с домена twitter.com на x.com, а ключи безопасности и passkey привязаны к конкретному домену — в данном случае к twitter.com. Когда старый домен окончательно выведут из эксплуатации, эти ключи попросту перестанут работать.
Чтобы перерегистрировать ключи вручную, нужно перейти в настройки по адресу x.com/settings/account/login_verification/security_keys, отключить существующие ключи безопасности и зарегистрировать их заново. Для подтверждения личности потребуется ввести пароль.
После завершения процедуры ключи безопасности и passkey будут привязаны к домену x.com и продолжат работать после окончательного отказа компании от twitter.com.
