20 Aprile 2023
Se non siete abbonati a Twitter Blue, da ieri vi sarà sicuramente apparso all'avvio dell'app un popup che vi "invita" a rimuovere l'autenticazione a due fattori tramite SMS a favore di app e token di sicurezza. Oggi è l'ultimo giorno che avrete a disposizione per effettuare questo cambiamento per evitare di lasciare il vostro account su Twitter privo della 2FA, quindi più vulnerabile.
AUTENTICAZIONE VIA SMS LA MENO SICURA
La decisione presa da Twitter lo scorso febbraio ha fatto sicuramente molto discutere, specialmente per il fatto che l'autenticazione 2FA tramite SMS resta comunque disponibile per coloro che pagano per uno dei piani in abbonamento che vanno dai 7 euro al mese di quello annuale sottoscritto da web agli 11 euro mensili della sottoscrizione tramite app iOS e Android.
Eppure, sebbene sia la più diffusa, l'autenticazione a due fattori tramite messaggio di testo è quella ritenuta meno sicura in quanto lascerebbe comunque gli utenti suscettibili a un attacco tramite "SIM Swap". Riuscendo a sottrarre un numero al legittimo proprietario, infatti, un malintenzionato riuscirebbe facilmente ad accedere ad un'app richiedendo il reset della password verificando l'identità.
MEGLIO APP O CHIAVE FISICA
Il consiglio, quindi, è quello utilizzare, o di iniziare a farlo, un'app di autenticazione (tra cui Google Authenticator, Authy, Microsoft Authenticator, Cisco Duo Mobile, FreeOTP o il sistema integrato in iOS) o una chiave di sicurezza fisica. Entrambi questi metodi infatti, sono effettivamente più sicuri.
Non rinviate. Se avete un account Twitter fate questo passaggio oggi stesso per evitare di lasciare "incustodito" il vostro account. Ricordiamo che la disabilitazione del 2FA tramite SMS non dissocia automaticamente il numero di telefono dal proprio account Twitter.
Commenti
Devi immettere il codice entro 30 secondi
Non riesco a far funzionare il sistema di iOS, genero il codice ma Twitter mi dice sempre che è sbagliato
Non riesco a far funzionare il sistema di iOS, genero il codice ma Twitter mi dice sempre che è spagliato
Ok, allora uno può già stare più tranquillo.
Sei-sette mesi fa. Hanno già sistemato da tempo.
Authy, esteticamente orrenda, ma ti permette di avere più client (anche sul desktop), tutti allineati con i codici generati.
(se aggiungi un nuovo sito/codice su un client, te lo ritrovi anche sugli altri)
di app authenticator non c'è solamente quella di Google, ce ne sono anche altre che consentono di passare tutti i codici su un nuovo telefono, come ad esempio Authy (che ha anche la versione desktop).
Inoltre, proprio perché esiste la possibilità di perdere l'app, vengono generati dei codici di recupero (che ti devi salvare), che ti permettono di entrare comunque in caso di emergenza.
Personalmente penso che qualsiasi servizio con abbonamento premium debba basarsi sul fornire qualcosa in più rispetto all'account base, non mi piace l'approccio inverso di "togliamo feature all'account base per giustificare il piano premium".
In questo caso in particolare, una feature di sicurezza a mio avviso non dovrebbe stare dietro paywall, mi sembra la classica mossa mafiosetta per spingere forzosamente i detentori di profili "importanti" (istituzioni, politici, vip, ecc.) a farsi Blue per non avere una sicurezza ridotta su account la cui compromissione sarebbe molto dannosa a livello di immagine.
Infine, c'è la questione app authenticator. E' vero che è una buona scelta, ma solo finché funziona e vi avete accesso. Se uno rompe lo smartphone, o per un qualsivoglia motivo perde l'accesso all'app, o compra un telefono nuovo e quindi formatta tutto... come funziona il recupero del 2FA? Perché in quei casi in tutti gli altri servizi che ho mai usato puoi scegliere di usare l'SMS come metodo tampone per poi ri-registrare l'app authenticator... qui come funziona? Non è chiaro...
se ha android google authenticator, se hai ios lo hai già il sistema di autenticazione a due fattori all'interno di ios.
Per il resto risparmiano perché gli SMS si pagano e non poco.
Tipicamente sì
Non l'hanno tolto per usarlo come funzionalità che ti convincerà a pagare, ma perchè spendevano milioni in richieste di autenticazione, a loro dire, "fasulle". Rendendolo disponibile solo per un gruppo ristretto di utenti ci risparmiano e non poco.
Cioè, pago per avere la possibilità di proteggere il mio account con la 2FA meno sicura? Come vendere ghiaccio agli eskimesi
Non mi sembra una gran scelta barattare la sicurezza con un risparmio economico.
Cosa chiede per ripristinare il buckup? Una verifica in due fattori per mail/sms?
salvo il fatto che è stato bucato.
Microsoft Authenticator funziona abbastanza bene; meglio ancora le chiavi fisiche tipo Yubikey 5 e simili. Occhio però che essendo fisiche, se le perdi sono perse per sempre e, per questo, è consigliato averne sempre un numero maggiore di 1 e magari conservarle in posti sicuri.
Personalmente uso Microsoft Authenticator e per il momento mi trovo più che bene...
Su Android una delle migliori è senza dubbio Aegis Authenticator, open source
Se hai iOS15/16, NON ti serve alcuna app, basta che vai in Impostazioni -> Password -> selezioni la password salvata di
twitter.com, ecco che ti compariranno i codici usa e getta che cambiano ogni 30 secondiSe hai iOS, non ti serve alcuna app, basta che vai in Impostazioni -> Password
Authy
Io uso Google authenticator e non mi posso lamentare...
Il nome utente e password sono fissi, cambia il codice che viene generato ogni volta che vai a vedere la password. Ovviamente quel codice lo userai solo se devi effettuare l'accesso su un nuovo dispositivo o browser
E coma fai ad autenticarti la seconda volta se è usa e getta?
Genera i codici per l'autenticazione a 2 fattori
Non ho mai utilizzato un app di autenticazione, consigli su qualcuna meglio di altre?
Meglio Authy
Ma dai? Addirittura un generatore di password integrato?
Il messaggio che passa alla fine è che l'autenticazione via SMS è sicura per gli account a pagamento e meno sicura per gli account free. Che poi, se fosse meno sicura in senso assoluto, sempre meglio averla che non averla, fermo restando che a tutt'oggi sono una marea i servizi che adottano ancora il token via SMS, quindi così soggetta ad hackeraggi non è
La devo scrivere. Scusate.
I'm Blue.
Authenticator e vediamo chi se lo inc*** il vostro inutile abbonamento.