Twitter mette a pagamento l’autenticazione a due fattori

L’autenticazione a due fattori (o multi-fattore) è un metodo per incrementare il livello di sicurezza nell’accesso ai servizi on-line, come i social media o i servizi bancari. Oltre al nome utente e password, viene richiesto un codice di sicurezza aggiuntivo che arriva via SMS oppure viene generato casualmente attraverso un’applicazione come Google Authenticator, Microsoft Authenticator o altri.

Stando al comunicato di Twitter si sarebbe portati a pensare che intenda abbassare il livello di sicurezza dei propri utenti, tuttavia occorre dare qualche precisazione.

Vista la quantità di vulnerabilità e problemi di sicurezza che la piattaforma ha subito in passato e la frequenza con cui avvengono i furti di account di svariati social media, ecco un rapido aggiornamento su quello che sta accadendo e che impatto potrebbe avere sui content creator che usano Twitter per diffondere il proprio lavoro.

Cosa cambia veramente

In realtà c’è molto poco da dire: la modifica è relativa esclusivamente all’autenticazione via SMS. Rimangono pertanto perfettamente funzionanti i rimanenti metodi via App Generator, che sono anche più sicuri della modalità via SMS.

Il suggerimento, quindi, è di disattivare l’autenticazione a due fattori via SMS nel proprio account, e attivare l’autenticazione tramite un’App dedicata.

Qualora non aveste già attivato l’autenticazione a due fattori, è fortemente suggerito il suo utilizzo per evitare che qualcuno possa appropriarsi del vostro account usando solo nome utente e password.

Considerazioni

La mossa del social media, a mio personale avviso, è legittima e sensata da un punto di vista economico. Stando alle statistiche diffuse dalla società, degli utenti iscritti che si avvalgono dell’autenticazione a due fattori il 74,4% utilizza il codice via SMS.

Ogni SMS inviato costa qualche millesimo di dollaro, che portato nella scala di utenti Twitter si trasforma in costi a “7-figure” (ovvero nell’ordine dei milioni di dollari).

Sessanta milioni all’anno, stando ad un tweet confermato dallo stesso Musk (non ho trovato fonti più autorevoli).

Una cifra raggiunta grazie al fatto che molti bot potevano generare richieste di autenticazione fittizie generando altrettanti messaggi SMS, portando quindi un guadagno agli operatori di telecomunicazioni che decidevano di approcciare questa tattica poco etica (anche qui, a parte lo scambio di cui sopra, non ci sono comunicazioni ufficiali al momento).

Un po’ come se un’etichetta musicale decidesse di fare auto-streaming dei propri stessi brani su Spotify o altre piattaforme (cosa che ovviamente non accade).

La seconda considerazione che mi viene da fare è che i codici via SMS siano già poco sicuri di loro. Il numero di attacchi cosiddetti “sim-swapping” è in crescente aumento, soprattutto negli USA. Un metodo di attacco che consente al malvivente di turno di “clonare” il numero di telefono di qualcuno e, di conseguenza, deviare i messaggi verso il proprio dispositivo.

Sul fatto che un’azienda quotata in borsa, con il budget di Twitter e le risorse a disposizione, non si sia mai accorta di quanto la piattaforma venisse abusata e sciacallata da chiunque avesse malizia sufficiente per farlo, è una storia che, forse, merita un post a sé stante.

A proposito dell'Autore o Autrice

Sebastian Zdrojewski

Sebastian Zdrojewski

Founder, (He/Him)

Ha lavorato per 25 anni nel settore IT affrontando problemi di sicurezza informatica, privacy e protezione dei dati per le aziende. Nel 2017 fonda Rights Chain, un progetto che mira a fornire risorse e strumenti per il copyright e la protezione della proprietà intellettuale per i creatori di contenuti, gli artisti e le imprese.