(dpa) – Ya hay forma de evitar que se acceda fraudulentamente a las cuentas de los usuarios de Twitter. Hasta ahora era posible reestablecer contraseñas o secuestrar cuentas conociendo el número de teléfono móvil o la dirección de correo electrónico, teniendo acceso a ellos.
Pero Twitter ya no hace depender la autenticación de la cuenta de usuario del número de teléfono móvil al iniciar sesión. La autenticación de dos factores (2FA) ahora también funciona con una aplicación de autenticación, en el smartphone, o con una memoria USB U2F especial, en el ordenador.
Anteriormente sólo se podían recibir el código de acceso a través de SMS, que debía introducirse junto con la contraseña para acceder a la plataforma. El método 2FA seleccionado debe estar activado en la configuración de la cuenta de Twitter antes de poder iniciar la sesión con él.
Siempre hay problemas con los números móviles y los SMS
Muchos usuarios de Twitter no utilizaban el sistema de autenticación por SMS debido a que temían problemas de seguridad.
Los atacantes a menudo tenían éxito al solicitar una tarjeta SIM de sustitución al proveedor en nombre de su víctima, copiando así su tarjeta SIM o interceptando una tarjeta solicitada legalmente. Así podían enviar un SMS a Twitter para solicitar un código de restablecimiento de contraseña y usurpar la cuenta de la víctima.
A finales del pasado verano (boreal), la cuenta del jefe de Twitter Jack Dorsey fue secuestrada de manera parecida. Además, los atacantes utilizaron una función que permite twittear a través de SMS, que posteriormente fue bloqueada de forma temporal.
La autenticación de doble factor es un estándar de Internet
Las diferentes opciones de 2FA están basadas en WebAuthn (Web Authentication), un método de autenticación que ya es oficialmente un estándar de Internet reconocido por el organismo normalizador de la red, W3C (World Wide Web Consortium).
Las aplicaciones de autenticación, las memorias USB U2F o los procedimientos biométricos de inicio de sesión, como los sensores de huellas dactilares, son denominados componentes de identificación o token.
Los token de WebAuthn no sólo se pueden utilizar para autenticación de doble factor, sino también para iniciar una sesión sin utilizar la contraseña en determinados servicios online.