A autenticação de dois fatores do Twitter não requer mais seu número de telefone
Em um esforço para proporcionar às pessoas uma experiência menos estressante, o Twitter está fazendo alterações em seu sistema de login. A equipe de segurança da plataforma de microblog anunciou ontem em um tweet que, a partir de agora, os usuários terão opções ligeiramente diferentes de autenticação de dois fatores (2FA). Aqui está o tweet em questão:
Também estamos facilitando a proteção de sua conta com a autenticação de dois fatores. A partir de hoje, você pode se inscrever no 2FA sem um número de telefone. https://t.co/AxVB4QWFA1
- Twitter Safety (@TwitterSafety) 21 de novembro de 2019
Muitos de vocês diriam que uma grande notícia não pode ser anunciada em menos de 280 caracteres. Alguns podem argumentar que, mesmo que possa ser, esse tweet em particular não é muito emocionante. Quando você se aprofundar, no entanto, verá que o anúncio é significativo.
O sistema 2FA do Twitter agora pode funcionar sem o seu número de telefone
O sistema 2FA do Twitter incorpora três opções para o segundo fator: você pode receber uma senha de uso único (OTP) via SMS; você pode usar um aplicativo autenticador móvel; ou você pode usar um token de hardware.
Até agora, no entanto, o Twitter exigia que você tivesse seu número de telefone conectado à sua conta para ativar a autenticação de dois fatores, independentemente de você querer ou não usar mensagens de texto. Não se tratava de uma falha de design, nem de um esquema para coletar milhões de números de telefone e vendê-los ao menor lance. Na verdade, era um recurso de segurança.
Seu número de telefone agiu como à prova de falhas no caso de você perder seu token ou não conseguir acessar o aplicativo autenticador móvel. Ele estava lá para garantir que, aconteça o que acontecer, você ainda poderá acessar sua conta sem muito aborrecimento. Agora, você não precisa mais fornecê-lo, e aqueles que já o adicionaram podem excluí-lo sem desativar o 2FA. Qual é o raciocínio por trás disso?
O Twitter sabe o quanto as coisas estão erradas se o seu número de telefone for comprometido
O Twitter não está removendo o 2FA baseado em SMS, inerentemente defeituoso. Você ainda pode vincular seu número de telefone à sua conta e receber seu código único do Twitter em uma mensagem de texto. O que a rede social está fazendo é permitir que os usuários que não desejam compartilhar seu número de telefone usem a autenticação de dois fatores. E algumas pessoas, incluindo ninguém menos que o próprio CEO do Twitter, têm um bom motivo para relutar em compartilhar seus números de telefone.
Em setembro, Jack Dorsey teve sua conta no Twitter invadida. Os criminosos não adivinharam sua senha e não se infiltraram nos sistemas do Twitter. Em vez disso, eles montaram o que é conhecido como ataque de troca de SIM.
Em essência, eles sequestraram o número de telefone de Dorsey e usaram o antigo serviço de tweet-via-SMS do Twitter para espalhar conteúdo ofensivo. Embora a opção de twittar via mensagens de texto tenha sido desativada quase imediatamente, o ataque alertou todos no Twitter sobre os perigos dos números de telefone seqüestrados e, agora, as pessoas têm a opção de se proteger.
Para ser justo, os usuários regulares que não têm a influência e a contagem de seguidores de pessoas como Jack Dorsey não são tão propensos a serem vítimas de um ataque de troca de SIM. Ainda assim, existem outros riscos associados à exposição dos detalhes de contato, o que significa que, se você já adicionou seu número de telefone à sua conta, considere excluí-lo. Você pode fazer isso acessando Configurações e privacidade > Conta > Telefone > Excluir número de telefone.
Faça o que fizer, verifique se o 2FA está ativado. Para fazer isso, vá para Configurações e privacidade > Conta > Segurança > Autenticação de dois fatores.
