O Twitter anunciou que os usuários finalmente poderão desativar a autenticação de dois fatores (SMS) para suas contas e usar apenas um método alternativo, como um aplicativo autenticador de código único móvel (OTP) ou uma chave de segurança de hardware. Até hoje, isso era impossível. Portanto, o Twitter permite desabilitar SMS para autenticação.
Se os usuários desejassem usar o 2FA para sua conta do Twitter, eles precisariam registrar um número de telefone e ativar o método 2FA baseado em SMS, mesmo que desejassem ou não.
Os usuários que desejavam usar um aplicativo autenticador móvel OTP ou uma chave de segurança de hardware tinham que ativar primeiro o 2FA baseado em SMS e não podiam desabilitá-lo.
Mesmo se o usuário optar por usar uma chave de segurança, o método 2FA baseado em SMS ainda estava ativo. Portanto, isso expôs a conta a ataques conhecidos como trocas de SIM.
Twitter permite desabilitar SMS para autenticação e por que isso é importante
Os hackers que sabiam a senha de um usuário realizavam uma troca de SIM. Deste modo, sequestram temporariamente o número de telefone de um usuário, ignorando o 2FA baseado em SMS e assumindo a conta desse usuário.
Nos últimos dois anos, muitas contas foram invadidas dessa maneira, porém, o Twitter nunca desistiu de sua decisão de tornar o 2FA baseado em SMS obrigatório e uma opção sempre ativa.
Tudo mudou em 30 de agosto deste verão, quando hackers usaram um ataque de troca de SIM para obter acesso à conta do Twitter de Jack Dorsey, CEO do Twitter.
Embora os hackers não tenham ignorado o 2FA no caso de sua conta, eles expuseram os perigos da troca do SIM para o CEO do Twitter e sua equipe de segurança.
A partir de agora, os usuários podem finalmente desativar o 2FA baseado em SMS e optar por um método 2FA mais seguro.
Isso também significa que os usuários do Twitter agora podem excluir o número de telefone associado à sua conta. Além disso, podem usar o 2FA – algo que antes não era possível. Isso também elimina os cenários em que os trocadores de SIM que não sabem a senha de um usuário. Eles podem usar o recurso de recuperação de senha com base em SMS para seqüestrar contas. Assim, conseguem invadir a conta do Twitter.
O Twitter anunciou o recurso agora, no entanto, está sendo testado há mais de uma semana, conforme observado por um usuário.
https://twitter.com/konklone/status/1195762437036945408