O Twitter anunciou nesta segunda-feira que agora é possível proteger contas usando múltiplas chaves físicas de autenticação em dois fatores (2FA), tanto para login na versão web do serviço quanto nos apps para smartphones.

Além disso, em breve será possível usar as chaves de autenticação como único método de login em uma conta, desabilitando todos os outros métodos (como senhas). A mudança trará mais segurança aos usuários, especialmente aqueles com contas mais visadas.

A autenticação em dois fatores exige que o usuário informe um código gerado por uma chave física, como um “token” eletrônico (dispositivo similar a um pendrive) ou app no celular, além da senha principal, para confirmar o login.

Esse código muda constantemente, portanto mesmo que um invasor tenha a senha da conta, não conseguirá acessá-la sem o código gerado pelo token. Isso impede que a conta seja “sequestrada” ou tenha sua senha trocada.

publicidade

Leia mais:

Mesmo com 2FA, contas foram invadidas

O Twitter foi alvo de um mega-ataque em julho de 2020 que afetou dezenas de usuários, entre eles alguns com 2FA habilitada. Perfis como o do presidente norte-americano Joe Biden, do ex-presidente americano Barack Obama, além de grandes ícones da tecnologia como Bill Gates, Elon Musk e Jeff Bezos, foram invadidos.

As contas invadidas postavam golpes, solicitando quantias em bitcoins com a promessa de devolver aos usuários o dobro dos valores depositados. A rede social entrou em ação para auxiliar a recuperação das contas e também admitiu estar ciente de suas responsabilidades como plataforma. Os ataques alvejaram cerca de 130 contas, mas apenas 45 delas foram invadidas.

A invasão ocorreu através de uma ferramenta de administração interna do Twitter. Segundo a empresa: “Detectamos o que acreditamos ser um ataque de engenharia social coordenado por pessoas que atingiram com êxito alguns de nossos funcionários com acesso a sistemas e ferramentas internas”, disse a empresa. “Sabemos que eles usaram esse acesso para assumir o controle de muitas contas altamente visíveis (incluindo verificadas) e tuitaram em seu nome”.

Após o ataque, a empresa implementou novas medidas de segurança para que o episódio não se repita.

Fonte: Bleeping Computer