O Twitter limitará o uso de autenticação de dois fatores baseada em SMS (2FA) para seus assinantes Blue. Ou seja, os usuários que não pagam um plano de assinatura, não poderão contar mais com esse meio de autenticação 2FA. Inclusive, os que optaram por essa opção, precisarão mudar isso nos próximos dias.
O Twitter disse no anúncio dessa decisão que “Embora historicamente seja uma forma popular de 2FA, infelizmente vimos o 2FA baseado em número de telefone ser usado – e abusado – por pessoas mal-intencionadas”. Na percepção da empresa, então, esses problemas acontecem apenas em contas não assinantes, porque ainda permitirá que assinantes realizem esse método de login.
Não permitiremos mais que contas se inscrevam no método de mensagem de texto/SMS de 2FA, a menos que sejam assinantes do Twitter Blue.
Autenticação de dois fatores usando SMS só será permitida para usuários do Twitter Blue
Os usuários do Twitter que não assinaram o Blue e se inscreveram no 2FA baseado em SMS têm tempo até 20 de março de 2023 para mudar para um método alternativo, como um aplicativo autenticador ou uma chave de segurança de hardware. Em outras palavras, esses usuários têm um mês para mudarem o método de autenticação, ou assinarem o plano Blue do Twitter.
Após essa data limite, os assinantes que não são do Twitter Blue terão sua opção desativada. Estaria o Twitter empurrando os usuários a assinarem o Twitter Blue? A empresa aponta que a decisão é baseada na insegurança do método.
De acordo com o Twitter, os métodos alternativos “exigem que você tenha posse física do método de autenticação e são uma ótima maneira de garantir que sua conta esteja segura”. Dado que o SMS tem sido a forma menos segura de 2FA, a aplicação mais recente provavelmente forçará as pessoas a adotar formas seguras de autenticação.
De acordo com dados do próprio Twitter, apenas 2,6% de todas as contas ativas habilitaram pelo menos uma forma de 2FA. O SMS responde por 74,4%, seguido por aplicativos autenticadores (28,9%) e chaves de segurança (0,5%).
Com quase 3 quartos das contas optando por esta forma de autenticação, talvez a empresa esteja mirando nisso para empurrar o Blue de alguma forma. Até porque, esses usuários ainda poderão utilizar esse método. Se ele fosse tão inseguro assim, por que deixar que os assinantes o usem? Parece um pouco estranho isso, não é mesmo?! O tempo dirá! Os usuários que optarão por este método de autenticação e não são assinantes têm pouco tempo para mudar de opção.