Платформа X (колишній Twitter) повідомила: користувачі, які застосовують passkey або апаратні ключі безпеки як другий фактор автентифікації (2FA), мають до 10 листопада виконати повторну реєстрацію. Якщо цього не зробити, вхід до таких акаунтів тимчасово блокуватиметься, доки не буде обрано й повторно прив’язано метод захисту.
Кого стосується зміна і що конкретно відбудеться
Вимога стосується лише тих, хто використовує для 2FA passkey або фізичні U2F/FIDO2-ключі на кшталт YubiKey. Ці методи вважаються фішинг-стійкими, адже перевірка відбувається на рівні пристрою або ОС із застосуванням криптографії, без введення секретів на підозрілих сторінках.
За інформацією служби Safety X, користувачі можуть перереєструвати наявний ключ або додати новий. Важливо: якщо додати новий ключ, попередньо прив’язані перестануть працювати. Після дедлайну акаунти без оновлених ключів блокуватимуться до виконання однієї з дій: повторної реєстрації ключа/passkey, переходу на інший метод 2FA (наприклад, додаток-аутентифікатор) або повного вимкнення 2FA, що платформа настійно не рекомендує.
Чому потрібна повторна реєстрація: міграція на x.com і прив’язка до RP ID
Компанія підкреслює, що вимога не пов’язана з кіберінцидентом. Причина — завершальний етап переходу з домену twitter.com на x.com. Технології FIDO2/WebAuthn прив’язують автентифікатори до доменного ідентифікатора сервісу (RP ID). Тобто ключі, зареєстровані для twitter.com, не зможуть пройти перевірку для x.com після виведення старого домену з експлуатації.
Як працюють passkey і чому це надійніше за паролі
Passkey та FIDO2-ключі використовують асиметричну криптографію: приватний ключ зберігається локально (на пристрої чи в апаратному токені), а сервісу передається лише криптографічний підпис виклику. Це суттєво знижує ризик фішингу, оскільки секрет не розкривається. Практика галузі підтверджує ефективність підходу: Google повідомляла, що перехід співробітників на ключі безпеки ліквідував успішні фішингові захоплення корпоративних акаунтів, а рекомендації NIST SP 800-63 відносять FIDO2 до переважних, фішинг-стійких факторів.
Як перереєструвати ключі безпеки в X: покрокова інструкція
Для ручної повторної реєстрації перейдіть до налаштувань: x.com/settings/account/login_verification/security_keys. Вимкніть чинні ключі безпеки та додайте їх знову, вже для домену x.com. Для підтвердження операції система попросить ввести пароль від акаунта.
Якщо тимчасово хочете змінити метод 2FA, оберіть додаток-аутентифікатор. Утім, для максимальної стійкості до фішингу доцільно залишатися на passkey або апаратних ключах. Врахуйте, що реєстрація нового ключа деактивує попередні, тож сплануйте процедуру заздалегідь, особливо якщо працюєте з кількох пристроїв.
Ризики відкладення та поради для організацій
Затягування з оновленням може призвести до тимчасового блокування входу після 10 листопада — це критично для брендів, медіа, корпоративних акаунтів та розробників. Вимикання 2FA заради швидкого доступу підвищує ризики компрометації: SMS-коди вразливі до перехоплення та SIM-swapping, паролі часто крадуть інфостілери, а фішингові сторінки імітують легітимні сервіси.
Практичні кроки: перевірте вхід з усіх робочих пристроїв, оновіть браузери й ОС, впевніться у доступі до основної електронної пошти для відновлення. В організаціях варто документувати процедуру перев’язування ключів, призначити вікно робіт та комунікувати зміни співробітникам, аби уникнути масових блокувань після дедлайну.
Своєчасна повторна реєстрація на домені x.com гарантує безперервний доступ і збереження фішинг-стійкої двофакторної автентифікації. Використайте час до 10 листопада, щоб оновити passkey або апаратні ключі, протестувати вхід і за потреби налаштувати резервний метод 2FA. Регулярне оновлення механізмів автентифікації — проста дія, що запобігає дорогим інцидентам безпеки завтра.
