Autenticação do Twitter em dois passos: tarde demais?

Consegue sentir a febre dos dois passos? Seguindo a trilha por onde já passaram Microsoft, este mês; Apple, em março; e Facebook e Google antes delas; o Twitter está testando o sistema de autenticação em dois passos para dificultar a invasão de contas.

São boas notícias depois da invasão das contas do Burger King e Jeep, sem falar da campanha de domínio focada em mídias sociais do Syrian Eletronic Army, grupo de hackers sírios, que, até agora, comprometeu desde a BBC e Reuters, até a National Public Radio e Associated Press (AP). De fato, um tweet falso – o embuste desta semana foi a AP reportando que o Presidente dos EUA, Barack Obama, havia sido ferido na explosão de duas bombas na Casa Branca – levou a uma queda temporária tanto na bolsa de valores quanto nos seguidores da AP no Twitter. Também levou muitos usurários de mídias sociais a se perguntarem: por que o Twitter tem demorado tanto para oferecer aprimoramentos na segurança da informação?

Acrescentar a autenticação em dois passos ao Twitter vem com bastante atraso. Até chegar, no entanto, não será mais suficiente para bloquear o tipo de ataque de phishing que o Syrian Eletronic Army parece ter usado para comprometer a AP, entre outros tipos de ataque. “No caso de mensagens de phishing, a autenticação em dois passos não eliminaria o problema”, disse Mark Risher, CEO da startupImpermium, especialista em segurança de mídias sociais, ao The New York Times. “Existem formas de driblar isso. Eu poderia criar uma página web falsa para o Twitter e pedir que você insira suas credenciais”, então um criminoso poderia usar seu usuário real, senha e o código único para acessar a conta-alvo.

A atual postura de segurança do Twitter – ou a falta dela – reflete sua abordagem “menos é mais” para coletar informações sobre seus usuários e compartilha-las. “Como crédito, os defensores da privacidade de dado gostam porque não rastreia muita coisa”, disse Sean Sullivan, conselheiro de segurança da F-SecureLabs, em entrevista por telefone. Mas tal abordagem leve tem aspectos negativos, por exemplo, quando se trata de repelir invasão de contas. “Não tem o pensamento ‘se nunca vimos um endereço IP sírio acessar essa conta antes, vamos bloqueá-lo’”, disse Sullivan.

Apenas como comparação, o Facebook oferece papeis hierárquicos de administração – para que nem todos com acesso a uma conta no Facebook tenham os mesmos direitos de acrescentar ou alterar outras contas ou senhas – e também observa logins de locais desconhecidos, com base em endereço IP. Tente fazer login da Síria pela primeira vez, mesmo que você use a senha correta, certos aspectos de administração de sua conta, como suas configurações de segurança, podem estar desabilitadas enquanto você não utilizar um dispositivo verificado pelo mesmo e-mail cadastrado na conta.

Os donos das contas podem ver sessões ativas – incluindo dispositivos usados para acesso da conta e horário do login – e desativar qualquer uma dessas sessões.

Por que o Twitter ainda não usa funções semelhantes? “Sinceramente, se eles criassem algo como Twitter Pro, a AP pagaria por isso, e eles optariam por esse acesso e a conta estaria protegida”, disse Sullivan. “E é que claro que isso não se aplicaria a todos os usuários, porque nem todos precisam disso”.

Para muita gente, o Twitter é apenas uma diversão – um serviço gratuito para canalizar sagacidade e inteligência em 140 caracteres ou menos. Entretanto, não se trata de uma rede local usada por algumas centenas de pessoas, com membros inclinados a se divertirem com trotes. Em vez disso, se tornou um sistema de comunicação global de disseminação de informação sobre tudo, desde os ataques a Boston e alertas de desastres até o relato de problemas com serviços e emergências públicas.

Conforme mais pessoas passam a confiar nesse sistema, mais urgente se torna a necessidade do Twitter por segurança mais adequada.

Por Mathew J. Schwartz para InformationWeek EUA
(Fonte: ItWeb)