Twitter ha annunciato un aggiornamento del sistema di autenticazione a due fattori (2FA) offerto ai propri utenti, che non rende più disponibile come opzione di autenticazione il metodo basato sui messaggi di testo (SMS), ma solo per alcuni utenti.
L’autenticazione a due fattori è un sistema che aumenta la sicurezza degli account digitali. Quando attivata sul proprio account, oltre a dover inserire username e password per accedere al proprio account è necessario anche inserire un codice di sicurezza temporaneo o utilizzare una chiave di sicurezza. In questo modo, anche se un malintenzionato conosce la combinazione username/password del proprio account, non può accedere senza aver superato anche il metodo di verifica aggiuntivo. Questo passaggio aggiuntivo, dunque, aiuta a garantire che solo il proprietario dell’account, e solo lui, possa accedere al suo account. Oggi molte aziende e siti online offrono l’autenticazione a due fattori – Google, Apple, Microsoft, Facebook, Instagram, Twitter e molti altri. Il sistema di autenticazione a due fattori proposto da Twitter negli ultimi anni ha permesso di scegliere come metodo di verifica aggiuntivo quello preferito tra tre opzioni: 1) codice temporaneo inviato tramite messaggio di testo (SMS), 2) app di autenticazione, 3) chiave di sicurezza.
Ecco come funziona il metodo basato sui messaggi di testo: nel momento in cui si vuole accedere al proprio account, dopo aver inserito correttamente username e password bisogna scrivere il codice univoco temporaneo che il sistema invia tramite SMS sul numero di telefono associato all’account; se il codice corrisponde l’accesso viene consentito, altrimenti no.
Il 15 febbraio 2023, Twitter ha annunciato di aver deciso di non consentire più agli account di scegliere come metodo di autenticazione l’invio di un codice temporaneo tramite SMS. Questo eccetto che per gli utenti abbonati al servizio a pagamento Twitter Blue, anche se per questi, tuttavia, la disponibilità può variare a seconda del paese e dell’operatore.
Twitter ha spiegato che questa sua decisione è stata presa per questioni di sicurezza, dopo aver scoperto che il metodo 2FA basato sull’invio di SMS al numero di telefono dell’utente può essere sfruttato dai malintenzionati per accedere al suo account. Su questo Twitter ha in parte ragione, in quanto sono sempre di piu’ le piattaforme che sconsigliano l’uso degli SMS come secondo fattore della verifica, in quanto hacker potrebbero riuscire ad intercettare l’SMS che il proprietario dell’account riceve sul suo numero di telefono con il codice temporaneo per accedere al proprio account, e quindi riuscire ad entrare nel suo account. Tuttavia, questa di Twitter sembra più una scusa per incentivare gli abbonamenti a Twitter Blue, o per risparmiare soldi per l’invio degli SMS ai propri utenti che preferiscono questo metodo per l’autenticazione a due fattori. Se la motivazione fosse esclusivamente legata a questioni di sicurezza, il metodo basato sui messaggi di testo dovrebbe essere rimosso completamente per tutti gli utenti, anche per gli utenti abbonati a Twitter Blue.
Ad ogni modo, ecco cosa scrive Twitter nel suo blog: "Storicamente una forma popolare di 2FA, purtroppo abbiamo visto che 2FA basato sul numero di telefono può essere utilizzato – e abusato – da malintenzionati. A partire da oggi, non consentiremo più agli account di iscriversi al metodo SMS di 2FA a meno che non siano abbonati a Twitter Blue. La disponibilità del metodo SMS di 2FA per utenti Twitter Blue può variare a seconda del paese e dell’operatore. (…) Incoraggiamo i non abbonati a Twitter Blue a prendere in considerazione l’utilizzo di un’app di autenticazione o di un metodo con chiave di sicurezza. Questi metodi richiedono il possesso fisico del metodo di autenticazione e sono un ottimo modo per garantire la sicurezza del tuo account".
Ad ogni modo, per gli utenti di Twitter non abbonati a Twitter Blue e agli utenti abbonati ma per i quali comunque non è più disponibile il metodo di autenticazione a due fattori basato sull’invio di SMS restano disponibili gli altri due metodi: app di autenticazione e chiave di sicurezza. Questi utenti che hanno l’autenticazione a due fattori attivata con il metodo basato sull’invio di SMS hanno 30 giorni di tempo, dal 15 febbraio 2023, per disattivare questo metodo e abilitarne un altro tra quelli disponibili.
Tra i due metodi rimasti, quello consigliato è l’app per l’autenticazione TOTP (Time-Based One-Time Passwords), che Twitter supporta dal 2019. Se non si dispone già di un’app di questo tipo sul proprio dispositivo è possibile scaricarne e installarne una. Le principali supportate da Twitter, disponibili su App Store per iOS e Google Play Store per Android, sono Google Authenticator, Authy, Duo Mobile, 1Password. Invece, l’utilizzo di un token di sicurezza richiede l’inserimento del token (che è un dispositivo simile ad una chiavetta USB) nella porta USB del computer o eseguire la sincronizzazione tramite bluetooth o NFC del computer.
Dopo il 20 marzo 2023, Twitter non consentirà più ai non abbonati a Twitter Blue di utilizzare i messaggi di testo come metodo 2FA, con questo metodo che verrà automaticamente disabilitato per il loro account. Questa disabilitazione non dissocerà automaticamente il numero di telefono dall’account Twitter, gli utenti che vorranno questo potranno seguire la procedura in Twitter>Altro>Impostazioni e Assistenza>Impostazioni e Privacy>Il Tuo Account>Informazioni dell’Account>Telefono.
E’ possibile attivare e gestire l’autenticazione a due fattori del proprio account Twitter nella sezione ‘Autenticazione a due fattori’ accessibile da Altro>Impostazioni e Assistenza>Impostazioni e Privacy>Sicurezza e accesso all’account>Sicurezza via web e app per Android e iOS.
