Twitter anunciado hoy que los usuarios finalmente podrán deshabilitar la autenticación de dos factores basada en SMS (2FA) para sus cuentas, y usar solo un método alternativo, como una aplicación de autenticación de código único móvil (OTP) o una clave de seguridad de hardware.
Hasta hoy, esto era imposible.
Si los usuarios querían usar 2FA para su cuenta de Twitter, tenían que registrar un número de teléfono y habilitar el método 2FA basado en SMS, incluso si lo deseaban o no.
Eric Mill
Los usuarios que querían usar una aplicación de autenticación móvil OTP o una clave de seguridad de components, primero tenían que habilitar el 2FA basado en SMS, y no podían desactivarlo.
Incluso si el usuario eligió usar una clave de seguridad, el método 2FA basado en SMS todavía estaba activo y expuso la cuenta a ataques conocidos como intercambios de SIM.
Los piratas informáticos que conocían la contraseña de un usuario realizarían un intercambio de SIM para secuestrar temporalmente el número de teléfono de un usuario, omitir 2FA basado en SMS y luego hacerse cargo de la cuenta de ese usuario.
Durante los últimos dos años, muchas cuentas de alto perfil han sido pirateadas de esta manera, pero Twitter nunca se movió en su decisión de hacer que la 2FA basada en SMS sea obligatoria y una opción siempre activa.
Todo cambió el 30 de agosto, este verano, cuando los piratas informáticos utilizaron un ataque de intercambio de SIM para obtener acceso a la cuenta de Twitter de Jack Dorsey, el CEO de Twitter.
Si bien los piratas informáticos no pasaron por alto 2FA en el caso de su cuenta, sí expusieron los peligros del intercambio de SIM al CEO de Twitter y su equipo de seguridad.
A partir de hoy, los usuarios finalmente pueden deshabilitar 2FA basado en SMS y optar por un método 2FA más seguro.
Esto también significa que los usuarios de Twitter ahora pueden eliminar el número de teléfono asociado con su cuenta y aún así pueden usar 2FA, algo que antes no period posible. Esto también elimina inherentemente los escenarios en los que los intercambiadores de SIM que no conocen la contraseña de un usuario pueden usar la función de recuperación de contraseña basada en SMS para secuestrar cuentas, conectando efectivamente el vector de ataque de intercambio de SIM para una cuenta.
Twitter anunció la función hoy, pero ha estado bajo prueba durante más de una semana, según lo visto por un usuario durante el fin de semana
¡Twitter ahora, finalmente, le permite habilitar la autenticación multifactor sin requerir que los códigos SMS sean una opción! #victorias
Si se siente remotamente en riesgo de apoderarse de la cuenta, use una aplicación de autenticación y / o una clave de seguridad, y desactive SMS como una opción de cuenta. pic.twitter.com/ZnR9nCZYJ3
– Eric Mill (@konklone) 16 de noviembre de 2019
