Twitter's tofaktorautentisering kræver ikke længere dit telefonnummer

I et forsøg på at give folk en mindre stressende oplevelse foretager Twitter ændringer i sit login-system. Microblogging-platformens sikkerhedsteam annoncerede i en tweet i går, at brugerne fra nu af vil have lidt forskellige to-faktor-godkendelsesmuligheder (2FA). Her er den pågældende tweet:

Vi gør det også lettere at sikre din konto med tofaktorautentisering. Fra i dag kan du tilmelde dig 2FA uden et telefonnummer. https://t.co/AxVB4QWFA1

- Twitter-sikkerhed (@TwitterSafety) 21. november 2019

Mange af jer vil sige, at et større stykke nyheder ikke kan annonceres med mindre end 280 karakterer. Nogle argumenterer måske for, at selvom det kan være, er netop denne tweet ikke særlig spændende. Når du graver dybere, vil du imidlertid se, at meddelelsen er betydelig.

Twitter's 2FA-system kan nu fungere uden dit telefonnummer

Twitter's 2FA-system indeholder tre muligheder for den anden faktor: Du kan få en engangskodeord (OTP) leveret til dig via en SMS; du kan bruge en mobilgodkendelsesapplikation; eller du kan bruge en hardware-token.

Indtil nu krævede Twitter dog, at du har dit telefonnummer tilsluttet din konto for at aktivere tofaktorautentisering, uanset om du vil bruge tekstbeskeder eller ej. Dette var ikke en designfejl, og det var heller ikke en ordning at samle millioner af telefonnumre og sælge dem videre til den laveste byder. Det var faktisk en sikkerhedsfunktion.

Dit telefonnummer fungerede som en fail-safe i tilfælde af at du mistede dit token eller ikke kunne få adgang til den mobile autentificeringsapplikation. Det var der for at sikre, at uanset hvad der sker, vil du stadig kunne få adgang til din konto uden for meget besvær. Nu behøver du ikke længere at angive det, og de af jer, der allerede har tilføjet det, kan slette det uden at deaktivere 2FA. Hvad er begrundelsen bag dette?

Twitter ved, hvor dårligt forkerte ting kan gå, hvis dit telefonnummer er kompromitteret

Twitter fjerner ikke den iboende fejlbehæftede SMS-baserede 2FA. Du kan stadig linke dit telefonnummer til din konto og modtage din Twitter engangskode i en sms. Hvad det sociale netværk laver i stedet er at tillade brugere, der ikke ønsker at dele deres telefonnummer, at bruge tofaktorautentisering. Og nogle mennesker, inklusive ingen anden end Twitter's egen CEO, har en god grund til at være tilbageholdende med at dele deres telefonnumre.

Tilbage i september fik Jack Dorsey sin Twitter-konto kapret. De kriminelle gætte dog ikke hans adgangskode, og de infiltrerede ikke Twitter's systemer. I stedet monterede de det, der er kendt som et SIM-swappingangreb.

I bund og grund kaprede de Dorseys telefonnummer og brugte Twitter's gamle tweet-via-SMS-tjeneste til at sprede stødende indhold rundt. Selvom muligheden for at twittere via tekstbeskeder blev deaktiveret næsten øjeblikkeligt, advarede angrebet alle på Twitter om farerne ved kaprede telefonnumre, og nu får folk mulighed for at beskytte sig selv.

For at være retfærdig, er regelmæssige brugere, der ikke har indflydelse og efterfølgende antal af mennesker som Jack Dorsey, ikke sandsynligt, at de bliver ofre for et SIM-bytteangreb. Der er stadig andre risici forbundet med at få deres kontaktoplysninger udsat, hvilket betyder, at hvis du allerede har føjet dit telefonnummer til din konto, kan du overveje at slette det. Det kan du gøre ved at gå til Indstillinger og privatliv > Konto > Telefon > Slet telefonnummer.

Uanset hvad du gør, skal du sørge for, at 2FA er tændt. For at gøre det skal du gå til Indstillinger og privatliv > Konto > Sikkerhed > To-faktor-godkendelse.