Perubahan otentikasi dua faktor Twitter “tidak masuk akal”
Twitter mengumumkan pada hari Jumat bahwa mulai 20 Maret, penggunanya hanya akan dapat mengamankan akun mereka dengan autentikasi dua faktor berbasis SMS jika mereka membayar langganan Twitter Blue. Otentikasi dua faktor, atau 2FA, mengharuskan pengguna untuk masuk dengan nama pengguna dan kata sandi, lalu “faktor” tambahan seperti kode numerik. Pakar keamanan telah lama menyarankan agar orang menggunakan aplikasi generator untuk mendapatkan kode ini. Tetapi menerimanya dalam pesan teks SMS adalah alternatif yang populer, jadi menghapus opsi itu untuk pengguna yang tidak berbayar telah membuat pakar keamanan menggaruk-garuk kepala.
Langkah dua faktor Twitter adalah yang terbaru dari serangkaian perubahan kebijakan kontroversial sejak Elon Musk mengakuisisi perusahaan itu tahun lalu. Layanan berbayar Twitter Blue—satu-satunya cara untuk mendapatkan tanda centang biru terverifikasi di akun Twitter sekarang—berbiaya $11 per bulan di Android dan iOS dan lebih murah untuk langganan khusus desktop. Pengguna yang di-boot dari autentikasi dua faktor berbasis SMS akan memiliki opsi untuk beralih ke aplikasi autentikator atau kunci keamanan fisik.
“Meskipun secara historis merupakan bentuk 2FA yang populer, sayangnya, kami telah melihat 2FA berbasis nomor telepon digunakan — dan disalahgunakan — oleh aktor jahat,” tulis Twitter dalam a posting blog diterbitkan Jumat malam. “Jadi mulai hari ini, kami tidak akan lagi mengizinkan akun untuk mendaftar dalam metode pesan teks/SMS 2FA kecuali mereka adalah pelanggan Twitter Blue.”
Di dalam laporan Juli 2022 tentang keamanan akun, Twitter mengatakan bahwa hanya 2,6 persen pengguna aktifnya yang mengaktifkan autentikasi dua faktor jenis apa pun. Dari pengguna tersebut, hampir 75 persen menggunakan versi SMS. Hampir 29 persen menggunakan aplikasi autentikator, dan kurang dari 1 persen telah menambahkan kunci autentikasi fisik.
Otentikasi dua faktor berbasis SMS tidak aman karena penyerang dapat membajak nomor telepon goal atau menggunakan teknik lain untuk mencegat teks. Tetapi pakar keamanan telah lama menekankan bahwa menggunakan SMS dua faktor secara signifikan lebih baik daripada tidak mengaktifkan faktor autentikasi kedua.
Semakin banyak, raksasa teknologi seperti Apple dan Google telah menghilangkan opsi untuk SMS dua faktor dan mengalihkan pengguna (biasanya selama berbulan-bulan atau bertahun-tahun) ke bentuk autentikasi lainnya. Peneliti khawatir bahwa perubahan kebijakan Twitter akan membingungkan pengguna dengan memberi mereka sedikit waktu untuk menyelesaikan transisi dan menjadikan SMS dua faktor tampak seperti fitur premium.
“Weblog Twitter benar dalam menunjukkan bahwa autentikasi dua faktor yang menggunakan pesan teks sering disalahgunakan oleh aktor jahat. Saya setuju bahwa ini kurang aman dibandingkan metode 2FA lainnya,” kata Lorrie Cranor, direktur lab privasi dan keamanan yang dapat digunakan Carnegie Mellon. “Tetapi jika motivasi mereka adalah keamanan, bukankah mereka juga ingin menjaga keamanan akun berbayar? Tidak masuk akal untuk mengizinkan metode yang kurang aman hanya untuk akun berbayar.”
