A partir de hoje, o Twitter está desativando a autenticação de dois fatores (2FA) baseada em SMS para todos, exceto os usuários pagantes, após uma decisão que, não muito diferente de outras ações recentes da gigante da mídia social, foi recebida com controvérsia que reverberou muito além do Twitterverse.

“Embora historicamente seja uma forma popular de 2FA, infelizmente, vimos 2FA baseado em número de telefone ser usado – e abusado – por maus atores”, lê a declaração do Twitter anunciando a mudança em meados de fevereiro.

Ao longo dos anos, a empresa e muitos de seus usuários – incluindo o ex-CEO do Twitter, Jack Dorsey – aprenderam da maneira mais difícil que números de telefone não são bons identificadores e mensagens de texto são vulneráveis ​​a seqüestro.

Avanço rápido (quase) para o presente e o atual CEO da plataforma Elon Musk tinha isso a dizer sobre a queda do 2FA no Twitter: “O Twitter está sendo enganado por empresas de telefonia por US $ 60 milhões / ano em mensagens SMS 2FA falsas.”

Antes de dizer, 'boa viagem para o SMS 2FA', no entanto, considere que usar qualquer método 2FA é muito melhor do que confiar apenas na sua senha. Isso então levanta a questão: você se preparou para o fim do SMS 2FA gratuito para evitar colocar seu Twitter conta com maior risco de invasão? Nas últimas semanas, o Twitter tem empurrado os usuários para longe e para outro método de login em duas etapas, mas se eles não funcionaram, agora é realmente a hora de agir.

Veja como você pode aumentar a segurança de sua conta do Twitter sem SMS 2FA – e mantê-la mais segura do que nunca. Mesmo que você pertença ao 0.2% dos usuários do Twitter que estão pagando por assinaturas da plataforma, continue lendo – muitos desses conselhos podem ser úteis para você também.

Como a autenticação 2FA funciona – e como ela falha

Como você provavelmente já deve saber, o 2FA adiciona uma camada valiosa de proteção à sua conta e é particularmente útil se sua senha for roubada. É lamentável, então, que apenas 2.6% das contas ativas do Twitter teve pelo menos um método 2FA habilitado no segundo semestre de 2021 (acima de um ainda mais escasso 2.3 por cento um ano antes). Desses, três quartos usaram mensagens de texto como segundo fator de autenticação.

Essa forma de 2FA – que foi desenvolvida pela primeira vez em meados da década de 1990 (naquela época, eles usavam pagers para isso) – tornou-se de longe o método 2FA mais popular em plataformas de e-mail e mídia social, lojas online e bancos.

Obviamente, apenas aguardar um texto com um código e inserir o código após inserir sua senha é uma maneira conveniente de aumentar a segurança de sua conta. Mas embora qualquer segundo fator seja muito melhor do que nenhum, o 2FA sobre mensagens de texto é conhecido por ser suscetível a vários ataques, pois os textos recebidos não são criptografados e podem ser interceptados, lidos ou redirecionados por determinados invasores com relativa facilidade. Em 2016, o Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos pediu que o 2FA baseado em SMS seja eliminado gradualmente.

Nos últimos anos, vários relatos de invasores obtiveram acesso às contas online das pessoas após, por exemplo, ataques bem-sucedidos golpes de troca de chip. Esses golpes envolvem criminosos enganando operadoras de telefonia para portar o número de telefone de seu alvo para um dispositivo sob seu controle. A partir daí, eles podem invadir as contas bancárias, redes sociais e outras contas das vítimas que usam o mesmo número de telefone para 2FA. Ninguém menos que o ex-chefe do Twitter, Jack Dorsey, foi vítima desse ataque em 2019.

Ao longo dos anos, pesquisadores de segurança, incluindo os da ESET, encontraram muitos exemplos de malware capazes de burlar as proteções 2FA das pessoas.

Por exemplo, lá em 2016, Pesquisadores da ESET detectaram um trojan bancário Android que estava roubando credenciais de login para 20 aplicativos bancários móveis. Ele contornou os códigos SMS, o malware passou todas as mensagens de texto recebidas para os criminosos. Três anos depois, a ESET descobriu aplicativos maliciosos que novas técnicas alavancadas para ler notificações com senhas de uso único (OTPs) aparecendo na tela do dispositivo.

As próprias proteções 2FA do Twitter e a postura de segurança foram examinadas em 2020, quando um vishing ataque em sua equipe levou ao sequestro de cerca de 130 contas pertencentes a figuras proeminentes. No hack, os invasores subverteram as proteções 2FA do Twitter e usaram as contas de Barack Obama, Elon Musk e Bill Gates e outros para vender um golpe de Bitcoin.

Para perpetrar o hack, os criminosos imitaram o site VPN legítimo do Twitter, onde os funcionários inserem suas credenciais. Assim que os invasores inseriam as credenciais de login na VPN real do Twitter e esperavam que os funcionários recebessem senhas de uso único. Depois que as vítimas preencheram a senha na VPN falsa, os hackers entraram.

Então, quais são suas opções de 2FA no Twitter agora?

O uso de aplicativos de autenticação gratuitos para 2FA permanecerá gratuito e muito mais seguro que o SMS https://t.co/pFMdxWPlai

- Elon Musk (@elonmusk) 18 de fevereiro de 2023

Existem dois outros tipos principais de autenticação 2FA que o Twitter suporta e que são mais seguros do que mensagens de texto.

Primeiro, você pode usar um aplicativo autenticador no dispositivo, como o Microsoft Authenticator ou o Google Authenticator, que fornece segurança sólida e é mais flexível do que uma chave de hardware (mais sobre isso posteriormente).

Os aplicativos autenticadores geram um código único que você usa para confirmar sua identidade ao fazer login em um site ou aplicativo. Isso pode não parecer muito diferente da autenticação SMS 2FA, mas a vantagem do aplicativo é que, em vez de um código ser enviado a você por mensagem de texto, o código aparece no aplicativo e é vinculado diretamente ao dispositivo, e não ao seu número de telefone. .

Como corolário, a autenticação baseada em aplicativo complica significativamente as coisas para quem deseja ler ou roubar seu código. (Malware que pode roubar códigos do autenticador não é inédito, Contudo.)

Configurações 2FA do aplicativo do Twitter antes da mudança

Se você quiser aumentar ainda mais seu jogo de segurança, considere obter uma chave de segurança de hardware que você conecta via USB, NFC ou Bluetooth. As chaves físicas fornecem um alto nível de segurança, especialmente porque os códigos não podem ser interceptados ou redirecionados. Para invadir sua conta, os criminosos teriam que roubar a chave, bem como obter suas credenciais de login.

Uma possível desvantagem é que você deve carregar a chave toda vez que quiser fazer login. Além disso, as chaves disponíveis atualmente não são universalmente suportadas por todos os dispositivos e plataformas. Além disso, esteja preparado para preços que começam em torno de US$ 25. Versões mais avançadas, como aquelas com reconhecimento de impressão digital, podem custar mais de US$ 100.

O que mais você pode fazer para melhorar a segurança do Twitter?

Ao mudar do 2FA transmitido por SMS, certifique-se de revisar as configurações de segurança e privacidade da sua conta. Entre outras coisas, defina uma senha forte e única (se você ainda não usa uma) e considere fazer isso etapas para se manter seguro ao usar a plataforma.

E se você já é, ou planeja se tornar, um assinante do Twitter Blue, é claramente melhor abandonar o SMS 2FA em favor de um aplicativo autenticador ou uma chave de hardware.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
• Fonte: https://www.welivesecurity.com/2023/03/20/twitter-free-sms-2fa-secure-account/