Pelos vistos algumas operadoras de telecom andavam a aldrabar o sistema e a criar bots para cobrar alguns milhões de dólares em mensagens de texto e então o Elon Musk decidiu parar com o sistema de verificação de dois factores por SMS para utilizadores que não sejam subscritores do Twitter Blue.

Para aqueles que lidam com as decisões do Elon Musk de outras formas, sendo cliente de algumas das empresas lideradas por ele, não parece nada de outro mundo que ele tenha decidido fazer isto do dia para a noite e eu iria ficar pouco surpreendido se outros seguissem o mesmo caminho como foi o caso do da Meta com o novo serviço de subscrição - mas colocando isso tudo de lado esta decisão tomada em cima do joelho e com motivos puramente financeiros não vem ajudar em nada a segurança das contas dos utilizadores do twitter.

Por muito que se diga e que se tente empurrar as pessoas para outras redes sociais como o Mastodon, o twitter não deixa de ser uma rede com influência, onde milhões de pessoas partilham as suas opiniões e vão de certa forma buscar informação, todos sabemos o impacto que as redes sociais podem ter nas nossas vidas, e com a possibilidade de comprometer ainda mais facilmente uma conta do twitter que nós seguimos e à qual damos valor e importância deve ser preocupante.

No mundo empresarial e em geral nas nossas vidas, por mais que se diga e que se queira florear a segurança de informação e a ciber segurança, tudo se resume a gerir riscos, e esta alteração não vem em nada ajudar.

Considerando que aproximadamente 74% dos utilizadores do twitter que usam autenticação de dois factores usam SMS isto é preocupante.

A Autenticação de 2 Factores (2FA daqui para a frente) através de SMS foi um enorme sucesso e hoje está implementado em muitos dos serviços que utilizamos.

Muitos dos profissionais de segurança vão dizer que o SMS 2FA é inseguro e que ninguém devia usar - o Elon Musk agarrou-se a isso também

Mas eu tenho de discordar - A falta de perfeição não deve ser uma desculpa para descartar uma tecnologia. Quando pessoas como o Elon Musk dizem que o SMS 2FA não é seguro, aquilo que conseguem é criar desconfiança e afastar as pessoas de tecnologias como esta que são utilizadas em milhões produtos e serviços e que servem um propósito.

Claro que o SIM swap existe, claro que alguém pode ter acesso ao teu telefone e recuperar o código, mas qual é o real impacto que esses ataques têm na generalidade dos utilizadores? Isto vai ao encontro de algo chamado "Threat Modeling" onde os riscos são analisados consoante os utilizadores - não há respostas 100% eficazes mas 80% é muito melhor do que 0.

Em suma o SMS 2FA não é perfeito, mas para a generalidade das pessoas funciona e serve o propósito para o qual foi criado

Ora bem, o Twitter podia utilizar códigos por email, que são quase de borla mas não o vão fazer por isso a solução é utilizar o gerador de códigos ou uma chave física de autenticação.

Embora os passkeys sejam o futuro onde não há mais passwords (podemos ver aqui Ricky Mondello a falar sobre isto em Ingles) ainda vai demorar uns anos a chegar que isto sejam utilizado na generalidade, por isso o 2FA ainda está cá para ficar.

Num iPhone pode simplesmente utilizar o Keychain que está incluído no iPhone para gerir as password e códigos - basta apontar a camera do iPhone! Dan Moren no SixColors tem um artigo onde explica como fazer este processo (em Inglês)

Podemos também utilizar uma aplicação que seja um gerador de códigos - se não tem um gestor de password (deixo esta para outro dia), pode utilizar o Microsoft Authenticator que existe para iOS e Android.

Comece por fazer o download e instalar a aplicação, se utilizar serviços Microsoft torna-se ainda mais útil.

Depois de acabar a configuração, siga os passos descritos na página de suporte do Twitter, não é complicado e na generalidade os passos são iguais em todos os serviços