Twitter: per la 2FA con SMS ora bisogna pagare
Twitter rende l'autenticazione a due fattori tramite SMS, cioè quella più comoda e più usata, un vantaggio esclusivo degli abbonati a Twitter Blue
Uno dei problemi più grandi dei social negli ultimi anni è certamente quello della protezione degli account degli utenti: troppo spesso i cyber criminali riescono a “rubare” i profili di ignari utenti e ad usarli per scopi illeciti. Uno dei metodi migliori per proteggere gli account è l’autenticazione a due fattori (2FA: 2 Factor Authentication) e ormai è disponibile su tutti i social e su tutte le app che gestiscono dati sensibili. Lo è anche su Twitter, dove però è appena arrivata una novità: per usare l’SMS come secondo fattore di autenticazione si deve ora pagare l’abbonamento a Twitter Blue.
2FA con SMS: come funziona
L’autenticazione a due fattori, come lascia intuire il nome, richiede due passaggi: l’inserimento di nome utente e password nell’app (o nel sito) e l’inserimento di un codice che viene inviato ad un dispositivo personale dell’utente. In questo modo, anche se un malintenzionato riuscisse a rubare il nome utente e la password di un iscritto a Twitter, non potrebbe comunque accedere al suo profilo perché non avrebbe il codice che fa da secondo fattore.
Questo codice può essere inviato all’utente di Twitter in 3 modi:
- SMS inviato al numero di telefono indicato in fase di registrazione
- App di autenticazione (come Google Authenticator)
- Chiavetta di sicurezza fisica
Facile capire che l’SMS sia il metodo più comodo per gli utenti, perché non richiede l’installazione di un’app aggiuntiva, né l’acquisto di una chiavetta fisica.
2FA con SMS: ora si paga
A partire dal 15 febbraio non è più possibile usare gli SMS come secondo fattore 2FA di Twitter: questa opzione è ormai riservata agli utenti abbonati a Twitter Blue.
Nella pagina dell’help online relativa alla 2FA, Twitter spiega il perché: “Anche se è un metodo storicamente popolare per la 2FA, purtroppo abbiamo notato che l’autenticazione basata sul numero di telefono viene usata, e abusata, dai malintenzionati. Pertanto, a partire da oggi, non consentiremo più agli account di usare la 2FA con SMS a meno che non siano abbonati a Twitter Blue“.
Teoricamente questa scelta potrebbe essere dovuta al fatto che il numero di telefono degli abbonati a Twitter Blue viene verificato, rendendo impossibile usare un altro numero come secondo fattore. Ma nella pratica ci sono diverse tecniche che scavalcano l’inconveniente per gli hacker, come il furto del numero (SIM hacking) che permette al criminale di farsi inviare l’SMS al suo telefono.
Nessuno usa la 2FA su Twitter
A prescindere da quale sia il vero motivo che ha spinto Twitter a spostare la 2FA con SMS tra i vantaggi esclusivi per gli abbonati a Twitter Blue, resta sullo sfondo un problema ben più grande: troppi pochi utenti, ancora oggi, usano la doppia autenticazione per proteggere il profilo.
I dati li ha forniti Rachel Tobac, CEO di SocialProof Security: a fine 2021 appena il 2,6% degli utenti attivi di Twitter aveva il profilo protetto con 2FA e, di questi, il 74,4% aveva la 2FA con SMS, il 28,9% con app di autenticazione e solo lo 0,5% con chiavetta fisica.
In 14 mesi questi numeri sono certamente cambiati e la percentuale di utenti protetti sarà certamente cresciuta, ma si parla comunque di una ristretta minoranza degli utilizzatori del social.
