Twitter, a sorpresa, ha deciso di rendere l’autenticazione a 2 fattori via SMS una funzionalità di Twitter Blue, la versione a pagamento di Twitter, dal prossimo 20 marzo. Pena l’impossibilità di accedere al proprio account. Una scelta delirante che può essere ovviata scegliendo l’A2F via app.
Prima di entrare nel dettaglio della notizia, per certi versi sorprendente, ci vorrebbe davvero qualcuno che si sedesse vicino a Elon Musk e gli dicesse di fermarsi perché sta davvero esagerando.
La notizia è che Twitter, nella serata di ieri in Italia, attraverso l’account Twitter Support, ha fatto sapere che dal prossimo 20 marzo l’autenticazione a 2 fattori (A2F) via SMS sarà a pagamento. In pratica diventerà una funzionalità compresa nell’abbonamento a Twitter Blue, la versione premium di Twitter che offre agli utenti funzionalità aggiuntive pagando 8€ al mese (oppure 7€ al mese se si sceglie l’abbonamento annuale) abbonandosi da web oppure 11€ al mese abbonandosi via app, iOS o Android.
Da sempre qui su nostro blog abbiamo sempre consigliato di scegliere di attivare l’autenticazione a 2 fattori via app, come può essere Google Authenticator, perché scegliere la A2F via SMS non è mai stata sinonimo di sicurezza. La spiegazione è molto semplice. I codici che vengono rilasciati attraverso l’SMS sono codici statici, ossia codici che possono essere intercettati da hacker, o da qualsiasi altra applicazione malevola, ed entrare quindi in possesso delle vostre credenziali. Effettuando, invece, il login attraverso l’autenticazione a 2 fattori con Google Authenticator i codici svaniscono dopo 30 secondi, questo rende il processo di autenticazione molto più sicuro.
Ma la scelta di rendere a pagamento la scelta via SMS è davvero scellerata, scusata l’esagerazione. Twitter non ha mai agito ponendo agli utenti scelte come queste, proponendole poi avendo a disposizione così poco tempo.
Forse può sembrare esagerato il fattore tempo, ma non lo è. Intanto, chi non avrà modo di scegliere di pagare si troverà in difficoltà a poter accedere al proprio account dal prossimo 20 marzo. In pratica o paghi o perdi l’accesso a Twitter. Mai sentita una cosa del genere in tanti anni.
Effective March 20, 2023, only Twitter Blue subscribers will be able to use text messages as their two-factor authentication method. Other accounts can use an authentication app or security key for 2FA. Learn more here:https://t.co/wnT9Vuwh5n
— Twitter Support (@TwitterSupport) February 18, 2023
Damn you guys are getting desperate to find that monetization model huh?
— RubberRoss (@RubberNinja) February 18, 2023
La scelta migliore sarebbe quella di optare da subito per autenticazione a 2 fattori via app, come appunto Google Authenticator per evitare di pagare e continuare ad usare il proprio account anche dopo il 20 di marzo. Per fare questa scelta non vi resta altro che andare nelle Impostazione del vostro account Twitter, da mobile>Sicurezza e accesso all’account>Sicurezza. Qui cliccate su “Autenticazione a due fattori” scegliendo l’opzione “App per l’autenticazione” e disattivando la prima “SMS”. Una volta scelta l’app che volete usare per il recupero dei codici, non vi resta altro che allineare il vostro account all’app con QR code, in modo da impostare tutto. A questo punto non dovrete pagare nulla.
Fin qui sembra semplice, ma non lo è. Molti scelgono infatti l’A2F via SMS per semplicità, perché ritengono che l’autenticazione a 2 fattori via app sia difficile da applicare. Ed è su questo che fa leva Twitter, duole dirlo ma è così.
cioè caro twitter non mi dai la spunta perché non conto un cazzo – e hai ragione – ma adesso punirmi mi pare un po' troppo pic.twitter.com/r3Hp6VYQZ8
— Marta Cagnola (@martacagnola) February 18, 2023
Il tweet in alto della giornalista di Radio24 Marta Cagnola che mostra il messaggio che Twitter sta inviando a chi ha scelto la A2F via SMS.
C’è da rilevare che la scelta di rendere a pagamento l’A2F via SMS sia legata ad questione di soldi, è evidente. Sì perché è Twitter che invia il messaggio all’utente per recuperare i codici di accesso e, allo stato attuale, Twitter non vuole più pagare ma vuole che sia l’utente a farlo.
Ma sapete quanti sono gli utenti Twitter che adottano in generale l’A2F? A questa domanda ci aiuta a rispondere Rachel Tobac, esperta di sicurezza, che su Twitter ha condiviso i dati, che produce proprio Twitter, con considerazioni molto interessanti e reali. La risposta è che solo il 2,6% degli utenti Twitter usa l’autenticazione a 2 fattori e il 74% di essi, quindi la gran parte, usa l’A2F via SMS.
Meno del 30%, il 28,9%, degli utenti Twitter adotta la A2F via app.
Twitter vuole che l’1,92% degli utenti paghi per accedere al proprio account dal prossimo 20 marzo. Si tratta, dunque, di una modalità per cercare di rendere Twitter Blue sempre più diffuso, visto che anche negli Usa gli abbonamenti stentano a decollare.
This Twitter 2FA change is nerve-racking because:
1. Only ~2.6% of Twitter users have 2FA on at all (it’s essential for preventing easy account takeover)
Of those 2.6%, 74% use text message based 2FA (https://t.co/WXuFydZk17)
If they don’t pay for Blue they auto lose 2FA on 3/20. https://t.co/LneQojvjbi pic.twitter.com/PgySF3Qyag— Rachel Tobac (@RachelTobac) February 18, 2023
Dicevamo prima che la scelta di adottare l’autenticazione a 2 fattori via SMS perché quella via app viene ritenuta più complicata, o comunque viene percepita così. E questo perché sulla sicurezza, e sul digitale in generale, c’è ancora molto da fare, in termini di formazione, di cultura digitale, di informazioni, così come sottolinea proprio la Tobac.
Sarebbe stato meglio se Twitter avesse dato più tempo, magari un anno, per scegliere e le cose sarebbero andate diversamente.
Ma i tempi stringono per Elon Musk che deve realizzare 3 miliardi di dollari di fatturato entro quest’anno e, purtroppo, le cose per Twitter non vanno bene, nonostante lui continui a dire che va tutto bene. Non è così e questa scelta di far pagare agli utenti la sicurezza del proprio account lo dimostra. Vedremo che effetto avrà questa decisione nei prossimi giorni.
