Vuoi continuare a fare la doppia autenticazione Twitter, per proteggere l’account, tramite sms? Dal 20 marzo devi pagare, attivando Twitter Blu. Una mossa che però espone a nuovi rischi cyber gli utenti. Unica soluzione: attivare subito una modalità alternativa per la doppia autenticazione, ossia via app. Ma quanti lo faranno? Ora si apre una probabile voragine di sicurezza per i (presumibilmente) tanti che sanno (o vogliono) usare solo gli sms per ricevere la password temporanea.
Indice degli argomenti
Autenticazione a doppio fattore (2FA) senza SMS
La scelta di Twitter è annunciata il 15 febbraio sul blog ufficiale: dal 20 marzo 2023 cesserà il supporto all’autenticazione con doppio fattore (2FA), per tutti gli utenti non aderenti al piano Twitter Blue. Doveroso fare qui una semplice premessa sull’autenticazione “forte”. L’autenticazione a doppio fattore (2FA) o multi-fattore (MFA), è una buona pratica di sicurezza informatica che aiuta a proteggere il proprio account (di qualsiasi piattaforma sia), da frodi.
Twitter rende a pagamento l’autenticazione via SMS. Cosa potrà mai andare storto? https://t.co/TWPvGWw5dc pic.twitter.com/WnDpBDF1s2
— Paolo Attivissimo (@ildisinformatico@mastodon.uno) (@disinformatico) February 18, 2023
e furti.
Si tratta di un secondo livello che si va a post porre dopo la password (che invece può essere carpita per vari motivi), rafforzando l’autenticazione di tale utente all’interno della piattaforma, con un codice aggiuntivo che solo il possessore di un dispositivo terzo, può avere.
Twitter finora ha da sempre supportato tre tipi di doppia autenticazione: via SMS, via App e via chiave di sicurezza. Ecco, questo cambiamento annunciato ora, impatta sul primo di questi modelli, l’autenticazione 2FA effettuata mediante SMS. Questo modello 2FA non sarà più supportato, o meglio continuerà ad esistere solo per la ristretta cerchia di utenti che hanno un abbonamento Twitter Blue. Tutti gli altri normali utenti, perderanno l’autenticazione a doppio fattore.
Proprio qui si arriva esattamente al punto della questione oggetto di critica. La disabilitazione dell’autenticazione a doppio fattore è qualcosa che non dovrebbe mai capitare. Se in più capita per via di un cambio di politica/normativa aziendale, la questione è ancora più grave.
Il problema
Abbiamo appena descritto 2FA come una buona pratica di sicurezza informatica, sempre più necessaria al giorno d’oggi. Purtroppo va detto che non è molto utilizzata perché gli utenti, in generale, sono poco formati sul potenziale offerto da utilizzare 2FA ovunque sia possibile usarla, e sull’efficace protezione che mette in pratica. I pochi che conoscono i metodi di autenticazione forte 2FA, spesso si limitano ai metodi che per loro sono considerati più semplici da applicare.
Ossia gli sms, appunto; anche se gli esperti consigliano le app per il rischio che le password via sms sia intercettate dai criminali.
Il problema più grave, di questa nuova scelta di Twitter appunto, è proprio il modo in cui viene attuata. Togliere l’autenticazione rafforzata da doppio fattore a chi già (miracolosamente) la usa, qualsiasi metodo stia utilizzando, è qualcosa di esageratamente sbagliato, per la quale difficilmente si può pensare di fare errori più gravi.
Come detto gli utenti che usano servizi Internet, normalmente non conoscono l’autenticazione a doppio fattore, o ne hanno appena sentito parlare e comunque ancora stentano ad utilizzarla con regolarità ovunque di sia da proteggere un accesso riservato (login). Per quanto riguarda Twitter le cose non sono molto diverse. Dalle analisi interne pubblicate dall’azienda stessa è facilmente reperibile il dato secondo cui, di tutti gli utenti della piattaforma oltre 1.3 miliardi, solo il 2,6% ha attivato un metodo di autenticazione a doppio fattore (2FA). Calcoli alla mano, vale a dire 34,5 milioni circa di utenti.
Di questi utenti, la medesima analisi ci dice che il 74,4% degli utenti, ha scelto come metodo di autenticazione 2FA, proprio l’autenticazione via SMS. Si parla per cui di un grande numero di utenti (25,7 milioni) che, tra circa un mese, si ritroverà il proprio account, privo di una necessaria buona pratica di sicurezza, in maniera massiva ed automatica.
La soluzione è nelle App di autenticazione
Che l’autenticazione a doppio fattore, effettuata mediante SMS, non sia tanto forte quanto ci si dovrebbe aspettare, è fatto noto. Così come anche l’abuso da parte dei criminali informatici di questa metodologia, nei propri attacchi per il furto degli account, sempre più frequente.
Va sottolineato però che è pur sempre una verifica in più rispetto ad una password che può essere compromessa. Toglierla resta tecnicamente una scelta sbagliata, sia in un’ottica di mera protezione degli account che la stanno adoperando, sia in uno scenario che vede 2FA come qualcosa di ancora sconosciuto (benché estremamente importante).
Detto questo, la soluzione non deve essere e non deve restare quella che dal 20 marzo Twitter applicherà a tutti gli utenti che oggi usano 2FA con SMS, ovvero il classico login con username e password, senza alcuna altra verifica aggiuntiva.
La soluzione sono le App di autenticazione. Sono facilmente installabili su qualsiasi smartphone, sia Android che iOS (Apple iPhone, iPad), ne possiamo scegliere una qualsiasi tra quelle disponibili sugli app store. Tra le più note evidenziamo Google Authenticator, Duo, Authy, Microsoft Auth, etc.
Consapevoli dunque che ci sarà un grande numero di utenti che non verrà nemmeno a sapere di questa modifica attuata da Twitter, che non si accorgerà della propria disabilitazione di 2FA dall’account (per diversi motivi), che non saprà come agire perché non conosce altri metodi, bisogna sicuramente auspicare ad una capillare informazione atta a far emergere istantaneamente l’alternativa.
Da qui al 20 marzo appunto sarà necessario, per chiunque stia oggi utilizzando 2FA via SMS, scegliere una delle app di autenticazione, installarla semplicemente nel proprio telefono e spuntare dal menu di Twitter Altro –> Impostazioni e assistenza –> Impostazioni e privacy –> Sicurezza e accesso all’account –> Sicurezza –> Autenticazione a due fattori e dentro la voce App per l’autenticazione.
