Alteração na autenticação de dois fatores do Twitter ‘não faz sentido’

Twitter anunciou ontem que a partir de 20 de março, só permitirá que seus usuários protejam suas contas com autenticação de dois fatores baseada em SMS se pagarem por uma assinatura do Twitter Blue. A autenticação de dois fatores, ou 2FA, exige que os usuários façam login com um nome de usuário e senha e, em seguida, um “fator” adicional, como um código numérico. Os especialistas em segurança há muito aconselham que as pessoas usem um aplicativo gerador para obter esses códigos. Mas recebê-los em mensagens de texto SMS é uma alternativa popular, portanto, remover essa opção para usuários não pagos deixou os especialistas em segurança coçando a cabeça.

A mudança de dois fatores do Twitter é a mais recente de uma série de mudanças políticas controversas desde que Elon Musk adquiriu a empresa no ano passado. O serviço pago Twitter Blue – a única maneira de obter uma marca de verificação azul verificada nas contas do Twitter agora – custa US $ 11 por mês no Android e iOS e menos para uma assinatura apenas para desktop. Os usuários inicializados com autenticação de dois fatores baseada em SMS terão a opção de alternar para um aplicativo autenticador ou uma chave de segurança física.

“Embora historicamente seja uma forma popular de 2FA, infelizmente, vimos o 2FA baseado em número de telefone ser usado – e abusado – por maus atores”, escreveu o Twitter em um comunicado. postagem no blog publicado na noite de sexta-feira. “Portanto, a partir de hoje, não permitiremos mais que as contas se inscrevam no método de mensagem de texto/SMS do 2FA, a menos que sejam assinantes do Twitter Blue.”

Em um relatório de julho de 2022 sobre segurança de contas, o Twitter disse que apenas 2,6% de seus usuários ativos têm algum tipo de autenticação de dois fatores habilitada. Desses usuários, quase 75 por cento estavam usando a versão SMS. Quase 29% estavam usando aplicativos autenticadores e menos de 1% adicionou uma chave de autenticação física.

A autenticação de dois fatores baseada em SMS é insegura porque os invasores podem sequestrar os números de telefone dos alvos ou usar outras técnicas para interceptar os textos. Mas os especialistas em segurança há muito enfatizam que usar o SMS de dois fatores é significativamente melhor do que não ter um segundo fator de autenticação ativado.

Cada vez mais, gigantes da tecnologia como Apple e Google eliminaram a opção de SMS de dois fatores e fizeram a transição de usuários (normalmente ao longo de muitos meses ou anos) para outras formas de autenticação. Os pesquisadores temem que a mudança de política do Twitter confunda os usuários, dando-lhes tão pouco tempo para concluir a transição e fazendo com que o SMS de dois fatores pareça um recurso premium.

“O blog do Twitter está certo em apontar que a autenticação de dois fatores que usa mensagens de texto é frequentemente abusada por pessoas mal-intencionadas. Concordo que é menos seguro do que outros métodos 2FA”, diz Lorrie Cranor, diretora do laboratório de segurança e privacidade utilizável da Carnegie Mellon. “Mas se a motivação deles é a segurança, eles também não gostariam de manter as contas pagas seguras? Não faz sentido permitir o método menos seguro apenas para contas pagas.”

Embora a empresa diga que suas mudanças para dois fatores serão lançadas em meados de março, os usuários do Twitter com SMS de dois fatores ativados começaram a encontrar uma tela de sobreposição pop-up na sexta-feira que os aconselhava a remover totalmente os dois fatores ou mudar para “ o aplicativo de autenticação ou métodos de chave de segurança.”

Não está claro o que acontecerá se os usuários não desativarem o SMS de dois fatores até o novo prazo. A mensagem no aplicativo para os usuários implica que as pessoas que ainda tiverem o SMS de dois fatores ativado quando a mudança acontecer oficialmente em 20 de março serão bloqueadas em suas contas. “Para evitar perder o acesso ao Twitter, remova a autenticação de dois fatores por mensagem de texto até 19 de março de 2023”, diz a notificação. Mas a postagem no blog do Twitter diz que os dois fatores serão simplesmente desativados em 20 de março se os usuários não o ajustarem antes disso. “Depois de 20 de março de 2023, não permitiremos mais que assinantes não-Twitter Blue usem mensagens de texto como um método 2FA”, escreveu a empresa. “Naquele momento, as contas com 2FA de mensagem de texto ainda habilitadas o terão desabilitado.”