Twitter begrænser 2FA med SMS for brugere der ikke har Twitter Blue
Nu kan du ikke længere logge ind på Twitter med SMS, hvis ikke du har et betalt abonnement på Twitter.
Endnu engang oplever Twitter brugerne nu en begrænsning af servicen, hvis ikke de har et betalt Twitter Blue abonnement. Hvis du bruger login med 2-faktorgodkendelse (og det bør du gøre), kan du nemlig ikke længere gøre det med SMS. Har du hidtil gjort det med SMS, beder Twitter dig om at deaktivere 2-faktorgodkendelse – ellers vil du miste adgangen til Twitter. Kun hvis du har et betalt Twitter Blue abonnement kan du få lov til at beholde muligheden for at logge ind med SMS.
Dette ændring er en overraskelse for mange brugere i disse dage, fordi det er ikke så tit man ser en stor tech virksomhed gøre sikkerhed til en del af fordelene ved et betalt abonnement. Heldigvis er der mulighed for fortsat at bruge en autoriseringsapp, såsom Google Authenticator, som jeg selv bruger. Men når Twitter beder brugerne slå 2-faktorgodkendelse fra – ikke skifte til autoriseringsapp – risikerer man at nogle slår 2-faktorgodkendelse fra uden at overveje alternativet. Det samlede resultat kan være færre brugere der bruger 2-faktorgodkendelse, og det kan godt være bekymrende.
Twitter selv forklarer ændringen med at de netop gør det, for at styrke sikkerheden. De mener nemlig at 2-faktorgodkendelse med SMS har været misbrugt, og derfor er en dårlig godkendelsesmetode. Jeg har ikke tidligere hørt om tilfælde hvor 2-faktorgodkendelse med SMS er blevet misbrugt, men det kan selvfølgelig være de har en pointe i det. I hvert fald er der ingen tvivl om at 2-faktorgodkendelse med SMS er den mest usikre form af 2-faktorgodkendelsesmetoderne. Det forklarer så ikke hvorfor de så beholder muligheden for en mindre sikker mulighed for dem der har et betalt abonnement.
Hvis du har Twitter, bør du helt klar slå 2-faktorgodkendelse til. Og muligheden for at logge ind med en godkendelsesapp virker fint. Jeg bruger selv Google Authenticator, der både findes til Android og iOS. Andre muligheder er fx. Microsoft Authenticator, Twilio Authy og LastPass. Det fungerer på den måde at når du logger ind og bliver bedt om en kode, åbner du bare din app og tester koden ind fra her, fremfor at vente på at modtage en SMS. Samme kan i øvrigt bruges til mange andre tjenester såsom Facebook, Linkedin, Instagram, Mastodon, Discord, WordPress og mange flere tjenester.
Generelt skal du ALTID slå 2-faktorgodkendelse til på alle tjenester hvor det understøttes. Det nedsætter markant risikoen for at din konto vil blive hacket og overtaget. Og i dag hvor vores tilstedeværelse online er så stor en del af vores identitet, svarer en overtagelse af disse konto til at dit kørekort eller sygesikringskort bliver stjålet.