Num anúncio inesperado (mas não muito), o Twitter anunciou uma actualização nas condições de acesso ao sistema de autenticação 2FA que se vai tornando cada vez mais indispensável para resistir a ataques em que seja descoberta a password dos utilizadores.
A autenticação 2FA requer a introdução de um código adicional para além da password, que pode assumir diferentes formas. No caso do Twitter disponibiliza a geração de um código único utilizando uma app 2FA, o envio de um código único via SMS, ou ainda a utilização de uma chave de segurança física. A alteração é que o método de envio de código via SMS passa a estar disponível apenas para os subscritores que paguem a mensalidade do serviço Blue.
É uma opção estranha, já que a autenticação via SMS, por muito conveniente que possa ser, é desaconselhada há anos por ser considerada insegura face aos ataques SIM Swap que se apoderam do número de telefone das vítimas. Aliás, basta recordar que até um dos fundadores do Twitter foi atacado por essa via. Teria feito muito mais sentido, do ponto de vista da segurança, simplesmente abandonar o método 2FA via SMS. Ao mantê-lo apenas para os clientes pagos, não há como evitar a suspeita de que o principal motivo para esta alteração não é a segurança, mas sim a redução de custos com o envio dos SMS.
Todos os utilizadores não-Blue que tiverem os SMS activos para 2FA ficarão com o método 2FA automaticamente desactivado a partir de 20 de Março.
Sem comentários:
Enviar um comentário (problemas a comentar?)