L'autenticazione a 2 fattori di Twitter non richiede più il tuo numero di telefono

Nel tentativo di offrire alle persone un'esperienza meno stressante, Twitter sta apportando modifiche al proprio sistema di accesso. Il team di sicurezza della piattaforma di microblogging ha annunciato ieri in un tweet che d'ora in poi gli utenti avranno opzioni di autenticazione a due fattori (2FA) leggermente diverse. Ecco il tweet in questione:

Stiamo inoltre semplificando la protezione del tuo account con l'autenticazione a due fattori. A partire da oggi, puoi iscriverti a 2FA senza un numero di telefono. https://t.co/AxVB4QWFA1

- Twitter Safety (@TwitterSafety) 21 novembre 2019

Molti di voi direbbero che una notizia importante non può essere annunciata in meno di 280 caratteri. Alcuni potrebbero sostenere che, anche se può essere, questo particolare tweet non è molto eccitante. Quando scavi più a fondo, tuttavia, vedrai che l'annuncio è significativo.

Il sistema 2FA di Twitter ora può funzionare senza il tuo numero di telefono

Il sistema 2FA di Twitter incorpora tre opzioni per il secondo fattore: è possibile ricevere una password una tantum (OTP) tramite SMS; è possibile utilizzare un'applicazione di autenticazione mobile; oppure puoi usare un token hardware.

Fino ad ora, tuttavia, Twitter richiedeva che il tuo numero di telefono fosse collegato al tuo account per consentire l'autenticazione a due fattori, indipendentemente dal fatto che tu volessi o meno utilizzare i messaggi di testo. Questo non era un difetto di progettazione, né un piano per raccogliere milioni di numeri di telefono e venderli al miglior offerente. In realtà era una caratteristica di sicurezza.

Il tuo numero di telefono ha funzionato come sicuro nel caso in cui hai perso il token o non riesci ad accedere all'applicazione di autenticazione mobile. Era lì per garantire che qualunque cosa accada, sarai comunque in grado di accedere al tuo account senza troppe seccature. Ora, non è più necessario fornirlo e quelli di voi che lo hanno già aggiunto possono eliminarlo senza disabilitare 2FA. Qual è il ragionamento alla base di questo?

Twitter sa quanto possono andare male le cose se il tuo numero di telefono è compromesso

Twitter non rimuove il 2FA basato su SMS intrinsecamente imperfetto. Puoi comunque collegare il tuo numero di telefono al tuo account e ricevere il tuo codice unico di Twitter in un messaggio di testo. Quello che sta facendo il social network è invece consentire agli utenti che non vogliono condividere il proprio numero di telefono di utilizzare l'autenticazione a due fattori. E alcune persone, incluso nientemeno che il CEO di Twitter, hanno una buona ragione per essere riluttanti a condividere i loro numeri di telefono.

A settembre, Jack Dorsey ha subito il dirottamento del suo account Twitter. I criminali non hanno indovinato la sua password e non si sono infiltrati nei sistemi di Twitter. Invece, hanno montato quello che è noto come un attacco di scambio SIM.

In sostanza, hanno dirottato il numero di telefono di Dorsey e hanno usato il vecchio servizio tweet-via-SMS di Twitter per diffondere contenuti offensivi. Sebbene l'opzione di twittare tramite messaggi di testo sia stata disabilitata quasi immediatamente, l'attacco ha avvisato tutti su Twitter dei pericoli dei numeri di telefono dirottati e ora le persone hanno la possibilità di proteggersi.

Per essere onesti, gli utenti regolari che non hanno l'influenza e il numero di follower di persone come Jack Dorsey non sono così suscettibili di cadere vittime di un attacco di scambio SIM. Tuttavia, ci sono altri rischi associati all'esposizione dei loro dati di contatto, il che significa che se hai già aggiunto il tuo numero di telefono al tuo account, potresti prendere in considerazione l'idea di eliminarlo. Puoi farlo andando su Impostazioni e privacy > Account > Telefono > Elimina numero di telefono.

Qualunque cosa tu faccia, assicurati che 2FA sia acceso. Per fare ciò, vai su Impostazioni e privacy > Account > Sicurezza > Autenticazione a due fattori.