A causa di un elevato numero di attacchi di Sim Swapping (attacco informatico che consente di impossessarsi del numero telefonico della vittima) che rendono i codici monouso poco sicuri, lo scorso febbraio Twitter ha annunciato l’intenzione di rimuovere, dalle opzioni di protezione per gli account standard, l’autenticazione a 2 fattori a favore dell’invio di codici via Sms. Questa misura, tuttavia, continuerà ad essere disponibile per gli account premium Twitter Blue. A questo punto, difficile capire se siamo davanti ad un provvedimento in favore degli utilizzatori, volto a tutelare la loro sicurezza, o di una mossa commerciale che mira ad aumentare il numero di iscrizioni agli account a pagamento.
Come riportato dall’Osservatorio Cyber realizzato da Crif, report che analizza la vulnerabilità degli utenti e delle aziende agli attacchi cyber, tra le diverse categorie di dati oggetto di attacco spiccano principalmente indirizzi mail (individuali o aziendali) e password.
L’impennata di questo tipo di attacchi è riconducibile a molti fattori; tra questi, l’utilizzo delle medesime coppie nome utente + password per più servizi, associazione di metodi di pagamento per servizi premium delle piattaforme, informazioni sensibili condivise sottovalutandone l’importanza (come spostamenti, posizioni in tempo reale e immagini delle abitazioni private e delle relative dotazioni di sicurezza). Per questi motivi è fondamentale proteggere i propri account social media e se subiamo un data breach è necessario attivarsi con la stessa premura con cui ci attiveremo se fosse stato violato il nostro conto corrente bancario.
La 2fA (2 factor authentication) è una forma di autenticazione multifattoriale che aumenta moltissimo il livello di sicurezza di un account, in quanto un eventuale hacker che volesse violarlo dovrebbe superare due barriere di sicurezza al posto di una. Esistono diversi metodi di autenticazione alternativi alla coppia di credenziali nome utente/password e i più utilizzati attualmente sono:
- codice monouso (anche conosciuto come one-time password o otp) inviato tramite sms o email;
- app di autenticazione;
- dispositivi hardware (token di sicurezza);
- impronta digitale;
- scanner facciale.
Attualmente, tra gli iscritti a Twitter, solo il 2% utilizza l’autenticazione a 2 fattori e il 74% di queste persone si avvale dei codici monouso tramite sms, seguiti dalle app di autenticazione e dai token. La 2fA tramite sms, come abbiamo visto, diverrà esclusiva solo degli account premium mentre gli altri potranno usare le app di autenticazione e i token di sicurezza. Panda Security, a questo riguardo, consiglia di utilizzare l’autenticazione a due fattori non solo per Twitter ma per tutti gli account personali, in quanto una delle principali tecniche utilizzate dai criminali informatici riguarda proprio l’utilizzo informazioni personali rilevate sui social, per violare account specifici o accedere a reti aziendali attraverso gli account dei dipendenti. Per questo, quando le password monouso non saranno più disponibili, Panda suggerisce di impostare uno degli altri due metodi di autenticazione multifattoriale di Twitter: un’app di autenticazione, come Google Authenticator, o un token di sicurezza fisico.
Indipendentemente dal motivo di fondo per cui Twitter ha preso questa decisione, è importante utilizzare tutti i sistemi di sicurezza più efficaci per proteggere gli account social. L’autenticazione a 2 fattori è in assoluto il metodo più efficace e importante, subito dopo l’uso di password complesse e uniche. A questo scopo, il consiglio di Panda è di utilizzare un password manager, che oltre a creare password difficili da forzare le memorizza automaticamente al posto dell’utente, il quale dovrà ricordare solo una master password per accedere a tutte le altre.
Ulteriori pratiche risultano utili per proteggere il proprio account Twitter:
- informarsi nel Centro assistenza e seguire le novità sulla sicurezza di Twitter;
- non condividere le credenziali con altre persone, neanche offline;
- non connetteresti a Twitter quando si utilizza una rete Wi-Fi pubblica;
- non pubblicare informazioni personali nei tweet;
- installare un antivirus efficace per proteggere i dispositivi da cui si effettua il collegamento;
- controllare periodicamente se le proprie password sono state compromesse tramite siti come Have I been Pwned?
In conclusione, se si possiede un account Twitter è bene proteggerlo adeguatamente iniziando da subito ad usufruire dell’autenticazione a 2 fattori. Parallelamente, è molto importante tenersi sempre informati sugli sviluppi della sicurezza informatica a livello globale.