De tweefactorauthenticatie van Twitter vereist niet langer uw telefoonnummer
In een poging om mensen een minder stressvolle ervaring te bezorgen, verandert Twitter zijn inlogsysteem. Het beveiligingsteam van het microblogplatform heeft gisteren aangekondigd in een tweet dat gebruikers voortaan iets andere two-factor authentication (2FA) -opties hebben. Dit is de tweet in kwestie:
We maken het ook gemakkelijker om uw account te beveiligen met tweefactorauthenticatie. Vanaf vandaag kunt u zich aanmelden voor 2FA zonder een telefoonnummer. https://t.co/AxVB4QWFA1
- Twitter Safety (@TwitterSafety) 21 november 2019
Velen van jullie zouden zeggen dat een belangrijk stuk nieuws niet in minder dan 280 tekens kan worden aangekondigd. Sommigen beweren dat, zelfs als het kan, deze specifieke tweet niet erg opwindend is. Als je dieper graaft, zul je zien dat de aankondiging aanzienlijk is.
Het 2FA-systeem van Twitter werkt nu zonder uw telefoonnummer
Het 2FA-systeem van Twitter bevat drie opties voor de tweede factor: u kunt een eenmalig wachtwoord (OTP) aan u ontvangen via een sms; u kunt een mobiele authenticatietoepassing gebruiken; of u kunt een hardwaretoken gebruiken.
Tot nu toe vereiste Twitter echter dat uw telefoonnummer aan uw account was gekoppeld om tweefactorauthenticatie mogelijk te maken, ongeacht of u al dan niet sms-berichten wilde gebruiken. Dit was geen ontwerpfout en het was evenmin een schema om miljoenen telefoonnummers te verzamelen en door te verkopen aan de laagste bieder. Het was eigenlijk een veiligheidsvoorziening.
Uw telefoonnummer fungeerde als een fail-safe voor het geval u uw token verloor of geen toegang kon krijgen tot de mobiele authenticatietoepassing. Het was er om ervoor te zorgen dat wat er ook gebeurt, je nog steeds zonder al te veel moeite toegang hebt tot je account. Nu hoeft u het niet langer te verstrekken en degenen die het al hebben toegevoegd, kunnen het verwijderen zonder 2FA uit te schakelen. Wat is de reden hiervoor?
Twitter weet hoe erg verkeerde dingen kunnen gaan als je telefoonnummer is gecompromitteerd
Twitter verwijdert niet de inherent gebrekkige SMS-gebaseerde 2FA. Je kunt nog steeds je telefoonnummer koppelen aan je account en je eenmalige Twitter-code ontvangen in een sms-bericht. Wat het sociale netwerk in plaats daarvan doet, is gebruikers die hun telefoonnummer niet willen delen, tweefactorauthenticatie gebruiken. En sommige mensen, waaronder niemand minder dan de eigen CEO van Twitter, hebben een goede reden om hun telefoonnummers niet te delen.
In september liet Jack Dorsey zijn Twitter-account kapen. De criminelen hebben zijn wachtwoord echter niet geraden en ze hebben de systemen van Twitter niet geïnfiltreerd. In plaats daarvan hebben ze een zogenaamde SIM-swapping-aanval opgezet.
In wezen kaapten ze het telefoonnummer van Dorsey en gebruikten ze de oude tweet-via-sms-dienst van Twitter om aanstootgevende inhoud te verspreiden. Hoewel de optie om te tweeten via sms bijna onmiddellijk werd uitgeschakeld, waarschuwde de aanval iedereen op Twitter over de gevaren van gekaapte telefoonnummers, en nu krijgen mensen de mogelijkheid zichzelf te beschermen.
Om eerlijk te zijn, zullen gewone gebruikers die niet de invloed en het aantal volgers hebben van mensen zoals Jack Dorsey, niet zo snel slachtoffer worden van een SIM-swapping-aanval. Toch zijn er andere risico's verbonden aan het zichtbaar maken van hun contactgegevens, wat betekent dat als u uw telefoonnummer al aan uw account hebt toegevoegd, u misschien wilt overwegen dit te verwijderen. U kunt dat doen door naar Instellingen en privacy > Account > Telefoon > Telefoonnummer verwijderen te gaan.
Wat u ook doet, zorg ervoor dat 2FA is ingeschakeld. Ga hiervoor naar Instellingen en privacy > Account > Beveiliging > Tweefactorauthenticatie.
