Mye har skjedd under taket til mikrobloggtjenesten Twitter etter Elon Musks overtakelse, hvorav mye har vært av kontroversiell art. Nå har tjenesten kunngjort en ny oppdatering, og også denne vil formodentlig høste kritikk.
Som blant andre Reuters registrerte kunngjorde Twitter nylig en drastisk endring av måten flerfaktorautentiseringen (2FA) foregår på plattformen – nærmere bestemt den SMS-baserte løsningen.
Fases ut fullstendig
Twitter har simpelthen bestemt seg for å fase ut SMS-baserte flerfaktorautentisering for alle brukere som ikke benytter seg av Twitters abonnementsløsning. Årsaken er at løsningen ikke anses som sikker nok.
– Historisk sett er det en populær form for 2FA, men dessverre har vi sett at telefonbasert 2FA brukes, og misbrukes, av ondsinnede aktører. Så fra og med i dag vil vi ikke lenger tillate innrullering i SMS-metoden for 2FA-autentisering med mindre de er Twitter Blue-abonnenter, skriver selskapet.
Brukere som ikke abonnerer på Twitter Blue og som allerede bruker SMS-løsningen, har 30 dager på seg til å deaktivere metoden og innrullere i et annet alternativ. Etter den 20. mars vil det ikke lenger være mulig å bruke SMS-metoden i det hele tatt for brukere som ikke abonnerer.
Twitter anbefaler brukere å bruke en autentiseringapp eller en fysisk sikkerhetsnøkkel i stedet for den SMS-baserte løsningen fremover.
Flere aktører har lenge påpekt at SMS-baserte 2FA medfører betydelig større risiko enn andre løsninger. Som Digi.no rapporterte tidligere (krever abonnement) har for eksempel Microsoft kommet med til dels sterke advarsler mot metoden.
– Utrygt
I et blogginnlegg bedyret sjefen ved Microsofts avdeling for identitetssikkerhet, Alex Weinert, at mobilbasert tofaktorautensiering legger til rette for at ondsinnede aktører altfor enkelt kan avskjære engangskodene som løsningen benytter.
Weinert peker på at hovedproblemet med totrinnsverifisering via telefonmetoden er at SMS-informasjon sendes i klartekst og er ikke gjenstand for krypteringsteknologi.
– Fra et praktisk brukerperspektiv kan vi ikke legge kryptering over disse protokollene fordi brukere vil være ute av stand til å lese dem. Det dette betyr er at signaler kan bli avskåret av hvem som helst som kan få tilgang til svitsjenettverket eller er innen radiorekkevidde til en enhet, het det i blogginnlegget.
Digi.no har også tidligere rapportert at det nå finnes automatiserte, bot-baserte løsninger for innhenting av engangskoder som sendes over mobilnettet. Disse selges blant annet på undergrunnsmarkeder på internett.
Den SMS-baserte totrinnsverifiseringen er for øvrig den mest populære blant Twitter-brukerne. I selskapets innsynsrapport fra i fjor sommer kommer det frem at hele 74,4 prosent av brukerne som benytter 2FA har valgt SMS-løsningen. Det var imidlertid kun 2,6 prosent av det totale antallet brukerne som bruker 2FA.
Fysiske sikkerhetsnøkler anses av mange som den aller sikreste løsningen, og blant andre Apple har den siste tiden utvidet støtten for denne løsningen.
Google skal skru på totrinnsverifisering for 150 millioner brukere