Twitter ha annunciato l’intenzione di limitare l’utilizzo della verifica a 2FA via SMS ai soli utenti abbonati. Seppur sia una scelta vista come un qualcosa di negativo per la sicurezza, a nostro avviso è completamente l’opposto. Infatti, spingerà molti a utilizzare sistemi di 2FA più sicuri degli SMS (che non lo è affatto), come ad esempio le app che generano codici TOTP oppure chiavi fisiche.
Cos’è la 2FA
L’autenticazione a due fattori, o 2FA, aggiunge un livello di sicurezza oltre alla protezione tramite password. Password deboli che possono essere facilmente indovinate dagli hacker, password trapelate o attacchi di phishing che possono attirare i dettagli della password da un utente possono portare tutti all’accesso indesiderato all’account di terze parti.
Con la 2FA, un utente ha un’altra guardia. Il semplice inserimento di una password non è sufficiente per ottenere l’accesso all’account, ma l’utente riceve una notifica tramite messaggio di testo o utilizza un’app di autenticazione o una chiave di sicurezza per approvare l’accesso.
Come abilitare la 2FA su Twitter
L’unica cosa negativa nella scelta di Twitter è quella di disabilitare automaticamente l’opzione se gli utenti non configurano un’altra forma di 2FA o non si abbonano a Twitter Blue. Ciò mette a rischio gli utenti che non agiscono rapidamente per aggiornare le proprie impostazioni.
Nelle impostazioni di sicurezza e accesso all’account, gli utenti di Twitter possono passare a “app di autenticazione” o “chiave di sicurezza” come metodo di autenticazione a due fattori preferito.
Le app di autenticazione basate su software come Google Authenticator, Aegis e l’autenticatore 2FA integrato negli iPhone ti inviano una notifica o, nel caso di Twitter, generano un token che ti consentirà di completare il tuo accesso. Invece di una semplice password, dovrai digitare il codice a sei cifre che vedi nell’app di autenticazione prima che conceda l’accesso al tuo account Twitter.
Le chiavi di sicurezza funzionano in modo simile, richiedendo un ulteriore passaggio per accedere a un account. È una chiavetta USB basata su hardware che si collega al tuo computer o si connette in modalità wireless allo smartphone per confermare la tua identità. I marchi includono Yubikey, Thetis e altri.
Le chiavi di sicurezza sono spesso considerate più sicure perché un hacker dovrebbe acquisire fisicamente il dispositivo per entrare.
I metodi 2FA che richiedono un codice per entrare, come tramite messaggio di testo o app di autenticazione, sono soggetti al phishing. In altre parole, gli hacker possono indurre un utente a inserire quel codice in pagine web fraudolente per accedere all’account. Ma non è possibile accedere da remoto se si utilizza una chiave di sicurezza.
