Twitter renueva el sistema de autenticación de dos factores

Smolen dijo que el cambio a un sistema sin SMS protege contra la posibilidad de que el servidor que se utiliza para generar códigos de un solo uso pueda verse comprometido. «Elegimos un diseño resistente al compromiso de la confidencialidad de los datos del lado del servidor: Twitter no almacena secretos de manera persistente, y el material de la clave privada necesaria para aprobar las solicitudes de inicio de sesión nunca sale de su teléfono», dijo.

El enfoque también evita el problema de que los teléfonos inteligentes se infecten con malware que podría interceptar códigos SMS de un solo uso. Esa capacidad ya se ha visto con el malware de Android que está diseñado para interceptar números de autorización de transacciones móviles (mTAN), códigos de un solo uso, enviados por algunos bancos a los clientes antes de aprobar una solicitud de transacción de alto valor.

«Que yo sepa, ningún malware ha perseguido códigos SMS no bancarios. Pero hacerlo sería extremadamente trivial para dicho malware», dijo Sean Sullivan, asesor de seguridad de F-Secure Labs, por correo electrónico, quien llamó a Twitter’s SMS-free. acercarse a «una característica útil».

Refiriéndose al Ejército Electrónico Sirio (SEA), Sullivan agregó: «El SEA se enfrió, al menos en Twitter. si no canal 4 — pero definitivamente habrá intentos de cuentas de alto perfil en el futuro».

Gorjeo comenzó a ofrecer autenticación de dos factores en mayo, luego de una serie de vergonzosas tomas de control de cuentas de Twitter de alto perfil por parte de SEA. Esas adquisiciones incluyeron una publicación falsa a través de la cuenta de Associated Press (AP) sobre un bomba en la casa blanca que conducen a una caída temporal en el promedio industrial Dow Jones.

Pero el primer sistema de autenticación de dos factores de Twitter era relativamente básico y muchos expertos en seguridad recomendaron evitarlo. Ese sistema implicaba el envío de un código de un solo uso a un teléfono móvil a través de un SMS, que luego un usuario necesitaba ingresar en el sitio web de Twitter. Pero el sistema no ofrecía compatibilidad con el software de autenticación, como Google Authenticator, que ya podría residir en el dispositivo móvil de un usuario. Además, no ofrecía acceso de respaldo a las cuentas si se perdía el teléfono y estaba limitado a un teléfono por cuenta, lo que lo hacía inadecuado para usar con cuentas grupales.

El sistema renovado de Twitter parece haber abordado esos problemas, y quizás más. «Queríamos crear un diseño en el que solo se almacene en el lado del cliente; el secreto solo se almacena en el teléfono», Smolen dicho cableado.

Pero a raíz de las revelaciones del informante de la Agencia de Seguridad Nacional, Edward Snowden, sobre el gobierno de EE. programas de vigilancia actuales, podría haber más en esa declaración de lo que parece a primera vista, dijo Sullivan de F-Secure. «El secreto está solo en el lado del cliente», dijo. «Entonces, ¿supongo que la NSA no puede pedirle a Twitter el secreto? Eso definitivamente parece encajar en la forma en que Twitter hace las cosas. ¿Tal vez las órdenes de mordaza de seguridad han impedido que Twitter diga por qué lo están haciendo de esta manera?».

Deja un comentario