Twitter a annoncé faciliter la sécurisation d'un compte avec l'authentification à deux facteurs. Il n'est ainsi plus nécessaire de communiquer un numéro de téléphone mobile.
Cela signifie que les utilisateurs qui avaient déjà opté pour l'authentification à deux facteurs vont pouvoir choisir une autre méthode et désactiver la solution par SMS, tout en supprimant le numéro de téléphone associé.
We're also making it easier to secure your account with Two-Factor Authentication. Starting today, you can enroll in 2FA without a phone number. https://t.co/AxVB4QWFA1
— Twitter Safety (@TwitterSafety) 21 novembre 2019
Les autres méthodes reposent sur une application d'authentification et un mot de passe unique à durée limitée, une clé de sécurité physique. Néanmoins, si cette dernière option est choisie, l'inscription demandera d'activer d'abord l'authentification à deux facteurs par SMS ou par application.
Sans être contournée, l'authentification à deux facteurs par SMS a montré ses limites avec le détournement du compte de Jack Dorsey en personne. Un attaquant était parvenu à tromper un opérateur pour le convaincre d'assigner le numéro de téléphone du patron de Twitter à une carte SIM d'un smartphone en sa possession.
Rappelons en outre que Twitter avait reconnu une erreur pour laquelle des numéros de téléphone devant servir à la sécurité comme avec l'authentification à deux facteurs ont été utilisés à des fins publicitaires, notamment pour les audiences personnalisées permettant de créer des campagnes de reciblage publicitaire.
De quoi faire réfléchir…
