Gli intensi cambiamenti e le relative polemiche proseguono per Elon Musk sulla sua nuova creatura Twitter. Dallo scorso autunno le modifiche sono già state parecchie, a partire dai servizi a pagamento, e oggi vanno in argomento sicurezza.
Uno dei metodi di autenticazione sicura a due fattori, ossia il codice via SMS, diventerà infatti esclusiva degli abbonati paganti. E dietro ci sono vari motivi.
Il secondo fattore via SMS diventa a pagamento: come funziona
La novità sarà operativa a partire dal 20 marzo 2023. Riguarderà tutti gli utenti di Twitter che non si sono iscritti a Twitter Blue, servizio a pagamento che consente di ottenere una spunta blu “verificata” e qualche altro vantaggio sul social.
Com’era la situazione finora? Semplicemente era come su quasi qualunque altro social o sito web che applica un importante filtro per la sicurezza. A tutti gli utenti era consentito scegliere un metodo di autenticazione a due fattori.
Si tratta di un elemento di login “usa e getta” aggiuntivo alla password, che serve ad evitare i furti di account: anche se un malintenzionato scopre la nostra password, non può entrare se non ha il codice inviato al momento del login. Tra di essi è incluso il più comune: un SMS contenente un codice a 6 cifre. Erano disponibili anche le app authenticator da avere sullo smartphone o speciali chiavette USB fisiche.
Dal 20 marzo, invece, gli utenti normali non potranno più mantenere il metodo SMS. Dovranno impostare uno degli altri due oppure accettare che l’account tornerà protetto dalla sola password.
Gli abbonati a Twitter Blue, al contrario, saranno autorizzati a mantenere il secondo fattore via SMS. Una netta differenza di trattamento, raramente vista in precedenza, perché le diverse possibilità non andavano mai a inficiare l’argomento cybersecurity.
Una modifica che avrà impatto: l’importanza dei due fattori e degli SMS
Va detto che, dal punto di vista ufficiale, Twitter non influenza la possibilità dei due fattori per chi non paga: potranno comunque adoperare un metodo gratuito, cioè l’app authenticator per lo smartphone (ignoriamo il token USB che si acquista per cifre non indifferenti).
Quindi, in teoria, l’utente non pagante può mantenere la sua cybersecurity (o addirittura aumentarla visto che l’app è un po’ più sicura degli SMS). Ma il problema sta altrove: nella facilità di utilizzo.
Come riportava una ricerca di Twitter nell’era pre-Musk, all’estate 2022 solo il 2,6% dell’utenza Twitter aveva configurato l’autenticazione a due fattori sul proprio account, davvero pochissimo. E di questo pezzettino, il 74,4% (tre quarti) la operava tramite SMS.
Questo perché l’SMS è molto più immediato da comprendere e facile da usare. Se gli utenti meno esperti lo adoperano, allora aumentano considerevolmente la propria sicurezza e intanto ne imparano l’importanza. L’effetto di questo metodo, pur essendo il meno avanzato, è incredibilmente positivo.
Rimuoverlo significa eliminare il passo in avanti fatto per quegli utenti meno esperti. È vero, c’è l’app authenticator, ma chi è poco avvezzo non saprà o non vorrà usarla e quindi rinuncerà, con l’effetto di tornare a un livello di cybersecurity davvero debolissimo.
Inoltre si è rimossa un’opportunità di scelta, visto che ogni utente dovrebbe avere la facoltà di selezionare il metodo a sé più avvezzo.
Perché Musk ha deciso di rendere l’autenticazione a due fattori a pagamento
Twitter ha addotto che il motivo è proprio la sicurezza, menzionando come il metodo SMS sia il più debole tra quelli a due fattori. Questo concetto è reale: l’app e i token sono più sicuri.
Si proclama poi che questo metodo sarà riservato agli iscritti Twitter Blue perché il loro profilo, essendo a pagamento, è stato verificato, includendo la verifica del numero di telefono.
Questa spiegazione, però, non convince tutti. Anche gli abbonati a pagamento possono essere sensibili di (seppur rarissimi) furti degli account e delle SIM; se il problema fosse stato solo la sicurezza, si sarebbe dovuto rimuovere il metodo SMS per tutti, forzando una tecnica più avanzata.
Il fatto che sia rimasto ai “Blue” rimanda al motivo economico. Inviare gli SMS di conferma, infatti, ha un costo. Twitter paga diversi milioni all’anno per farli usare.
Sembra allora una ragione economica. Chi paga col Twitter Blue può sostenere i costi dell’invio di SMS; non si vuole, invece, che chi usa la piattaforma in modo gratuito faccia perdere fondi all’azienda. Come se non fossero bastate le recenti polemiche sul guadagno dagli account dell’odio.
L’SMS era il metodo migliore per far approcciare i meno avvezzi alla sicurezza avanzata. Sarebbe stato utile, magari, un percorso per far abituare sempre più gli utenti ai due fattori, che oggi sono fondamentali, e spingerli alla fine verso metodi avanzati. Ma il 2,6% non è certo un obiettivo di consapevolezza raggiunto!
Tramite questa modifica, chi non selezionerà un metodo differente (perché non lo conosce, perché ha un telefono vecchio o perché non vuole installare nuove app) si vedrà la doppia autenticazione del tutto rimossa. Non verrà imposto un obbligo a metterne una più avanzata.
L’utente rischia di percepire che ciò è normale, come se pagare fosse il prezzo della sicurezza. E forse non capirà, per un altro po’ di tempo, l’importanza del doppio fattore.