Twitter: s tvåfaktorautentisering inte längre kräver ditt telefonnummer

För att ge människor en mindre stressande upplevelse gör Twitter ändringar i sitt inloggningssystem. Microblogging-plattformens säkerhetsteam meddelade i en tweet i går att från och med nu kommer användare att ha något annorlunda tvåfaktorautentisering (2FA). Här är tweeten i fråga:

Vi gör det också lättare att säkra ditt konto med tvåfaktorautentisering. Från idag kan du anmäla dig till 2FA utan telefonnummer. https://t.co/AxVB4QWFA1

- Twitter Safety (@TwitterSafety) 21 november 2019

Många av er säger att en stor nyhet inte kan meddelas med mindre än 280 tecken. Vissa kan hävda att även om det kan vara, är den här tweeten inte så spännande. När du gräver djupare ser du dock att tillkännagivandet är betydande.

Twitter's 2FA-system kan nu fungera utan ditt telefonnummer

Twitter's 2FA-system innehåller tre alternativ för den andra faktorn: du kan få ett engångslösenord (OTP) levererat till dig via ett SMS; du kan använda en mobil autentiseringsapplikation; eller så kan du använda ett hårdvarutoken.

Fram till nu krävde dock Twitter att du hade ditt telefonnummer anslutet till ditt konto för att möjliggöra tvåfaktorautentisering, oavsett om du ville använda textmeddelanden eller inte. Detta var ingen designfel och det var inte heller ett system att samla in miljoner telefonnummer och sälja dem till lägsta budgivare. Det var faktiskt en säkerhetsfunktion.

Ditt telefonnummer fungerade som ett felsäkert fall om du tappade ditt symbol eller inte kunde komma åt mobilautentiseringsapplikationen. Det var där för att se till att vad som än händer kommer du fortfarande att kunna komma åt ditt konto utan för mycket krångel. Nu behöver du inte längre tillhandahålla det, och de av er som redan har lagt till det kan ta bort det utan att inaktivera 2FA. Vad är resonemanget bakom detta?

Twitter vet hur illa fel saker kan gå om ditt telefonnummer komprometteras

Twitter tar inte bort den iboende felaktiga SMS-baserade 2FA. Du kan fortfarande länka ditt telefonnummer till ditt konto och få din Twitter engångskod i ett textmeddelande. Det sociala nätverket gör istället är att låta användare som inte vill dela sitt telefonnummer använda tvåfaktorautentisering. Och vissa människor, inklusive ingen annan än Twitters egen verkställande direktör, har en god anledning att vara ovilliga att dela sina telefonnummer.

Tillbaka i september fick Jack Dorsey sitt Twitter-konto kapade. Kriminella gissade dock hans lösenord och de infiltrerade inte Twitter: s system. Istället monterade de det som kallas en SIM-byteangrepp.

I huvudsak kapade de Dorseys telefonnummer och använde Twitter: s gamla tweet-via-SMS-tjänst för att sprida stötande innehåll runt. Även om alternativet att tweeta via textmeddelanden inaktiverades nästan omedelbart, varnade attacken alla på Twitter om farorna med kapade telefonnummer, och nu ges människor möjlighet att skydda sig.

För att vara rättvis är vanliga användare som inte har inflytande och följdantal för personer som Jack Dorsey inte så troliga att de kommer att bli offer för en SIM-byteangrepp. Det finns fortfarande andra risker i samband med att deras kontaktinformation exponeras, vilket innebär att om du redan har lagt till ditt telefonnummer till ditt konto, kanske du vill överväga att ta bort dem. Du kan göra det genom att gå till Inställningar och sekretess > Konto > Telefon > Radera telefonnummer.

Vad du än gör, se till att 2FA är på. För att göra det, gå till Inställningar och sekretess > Konto > Säkerhet > Tvåfaktorsautentisering.