Twitter rende a pagamento l’autenticazione via SMS. Cosa potrà mai andare storto?

Pubblicazione iniziale: 2023/02/18 11:19. Ultimo aggiornamento: 2023/03/14 17:35.

Ho ricevuto numerose segnalazioni di un annuncio di Twitter, secondo il quale l’autenticazione tramite SMS verrà riservata prossimamente agli utenti paganti.

L’annuncio è autentico e dice che “Solo gli abbonati a Twitter Blue”, che è la versione a pagamento di Twitter, “possono utilizzare gli SMS come metodo di autenticazione a due fattori. La sua rimozione richiederà solo qualche minuto.” dice l’annuncio. “Puoi ancora utilizzare l’app per l’autenticazione e i token di sicurezza come metodi di autenticazione.” Questo avviso indica la data del 19 marzo prossimo come termine ultimo: “Per non perdere l’accesso a Twitter, rimuovi l’autenticazione a due fattori tramite SMS entro la seguente data: 19 mar 2023”.

Questa nuova regola è stata annunciata ufficialmente con un tweet di @TwitterSupport il 18 febbraio 2023 ed è descritta in dettaglio in una pagina del blog di Twitter, con la giustificazione che “purtroppo abbiamo visto che l’autenticazione a due fattori basata sul numero di telefono viene usata e abusata da attori ostili. Per cui a partire da oggi non permetteremo più agli account di iscriversi al metodo di autenticazione a due fattori basato su SMS a meno che siano abbonati a Twitter Blue” (“unfortunately we have seen phone-number based 2FA be used - and abused - by bad actors. So starting today, we will no longer allow accounts to enroll in the text message/SMS method of 2FA unless they are Twitter Blue subscribers”).

Suona un po’ assurdo dire che una forma di autenticazione più debole verrà riservata agli utenti paganti (che sono quelli che hanno più da perdere), ed è facile interpretare questa novità come un altro disperato tentativo di incentivare gli utenti a usare la versione a pagamento di Twitter (cosa che finora, a quanto pare, hanno fatto meno di 200.000 persone negli Stati Uniti). Tuttavia Elon Musk ha giustificato questo cambiamento dicendo che gli SMS di autenticazione a due fattori fraudolenti, generati da numerose compagnie telefoniche disoneste, stavano costando a Twitter ben 60 milioni di dollari l’anno.

Sia come sia, rimane il fatto che l’autenticazione fatta tramite SMS in generale è poco sicura, non solo su Twitter ma su qualunque servizio online, e andrebbe rimpiazzata, comunque e dovunque, dall’autenticazione tramite app apposita o tramite token, ossia un piccolo dispositivo digitale che contiene una chiave crittografica di sicurezza.

Purtroppo è molto probabile che invece la pigrizia della massa degli utenti, di fronte alla scelta fra 

a) pagare per continuare come prima 

e 

b) capire, installare, configurare e attivare l’autenticazione tramite app

sarà quasi sempre

c) levare del tutto l’autenticazione e usare solo la password, tanto cosa vuoi che mi succeda

Già adesso, secondo le ricerche dell’esperta informatica Rachel Tobac, meno del 3% degli utenti di Twitter ha una qualunque forma di autenticazione a due fattori, e di quel 3% scarso il 74% usa gli SMS. Con questa nuova regola, un’ondata di furti di account è praticamente inevitabile.

Se volete rimediare e cercate un’app di autenticazione, potete provare Authenticator di Google (per Android e iOS) oppure Authy o l’app di autenticazione di Microsoft (disponibile anche lei per Android e iOS). Per gli utenti Apple c’è anche il Keychain o Portachiavi di iOS.

Passare all’autenticazione forte in Twitter non è difficile, ma non è neanche una passeggiata: 

• Il primo passo è installare un’app di autenticazione.
• Fatto questo, si va nell’app, si tocca l’icona del profilo, si sceglie Impostazioni e assistenza, poi Impostazioni e privacy e infine Sicurezza e accesso all’account e poi Sicurezza. 
• Qui si sceglie Autenticazione a due fattori e si disattiva l’opzione SMS (per farlo bisogna digitare la propria password).
• Compare la richiesta di confermare la disattivazione e si risponde toccando Disattiva.
• Si attiva una delle opzioni di sicurezza alternative, ossia App per l’autenticazione oppure Token di sicurezza. Se si sceglie la prima (App per l’autenticazione), compare l’invito ad abbinare un’app di autenticazione all’account Twitter.
• Si clicca su Inizia.  
• Nella schermata successiva, che richiede di abbinare l’app di autenticazione all’account Twitter, si tocca Link app.
• Su iPhone (non so cosa succeda su Android) a questo punto compare la schermata Password automatica e viene elencato l’account Twitter insieme agli altri protetti da password. Si tocca questo account e compare un codice di verifica che dura 30 secondi.
• Si tiene a mente questo codice e si torna all’app Twitter, che a questo punto chiede di immettere il codice.
• Si immette il codice.
  

Già che siete da quelle parti in Impostazioni e privacy e poi Sicurezza e accesso all’account, toccate anche l’opzione Codice di backup, che genera un codice unico, usabile una sola volta, che vi permette di autenticarvi in caso di emergenza.  

Fonte aggiuntiva: Intego.