Autenticação do Twitter em dois passos: tarde demais?

Consegue sentir a febre dos dois passos? Seguindo a trilha por onde já passaram Microsoft, este mês; Apple, em março; e Facebook e Google antes delas; o Twitter está testando o sistema de autenticação em dois passos para dificultar a invasão de contas.

São boas notícias depois da invasão das contas do Burger King e Jeep, sem falar da campanha de domínio focada em mídias sociais do Syrian Eletronic Army, grupo de hackers sírios, que, até agora, comprometeu desde a BBC e Reuters, até a National Public Radio e Associated Press (AP). De fato, um tweet falso ? o embuste desta semana foi a AP reportando que o Presidente dos EUA, Barack Obama, havia sido ferido na explosão de duas bombas na Casa Branca ? levou a uma queda temporária tanto na bolsa de valores quanto nos seguidores da AP no Twitter. Também levou muitos usurários de mídias sociais a se perguntarem: por que o Twitter tem demorado tanto para oferecer aprimoramentos na segurança da informação?

Acrescentar a autenticação em dois passos ao Twitter vem com bastante atraso. Até chegar, no entanto, não será mais suficiente para bloquear o tipo de ataque de phishing que o Syrian Eletronic Army parece ter usado para comprometer a AP, entre outros tipos de ataque. ?No caso de mensagens de phishing, a autenticação em dois passos não eliminaria o problema?, disse Mark Risher, CEO da startupImpermium, especialista em segurança de mídias sociais, ao The New York Times. ?Existem formas de driblar isso. Eu poderia criar uma página web falsa para o Twitter e pedir que você insira suas credenciais?, então um criminoso poderia usar seu usuário real, senha e o código único para acessar a conta-alvo.

A atual postura de segurança do Twitter ? ou a falta dela ? reflete sua abordagem ?menos é mais? para coletar informações sobre seus usuários e compartilha-las. ?Como crédito, os defensores da privacidade de dado gostam porque não rastreia muita coisa?, disse Sean Sullivan, conselheiro de segurança da F-SecureLabs, em entrevista por telefone. Mas tal abordagem leve tem aspectos negativos, por exemplo, quando se trata de repelir invasão de contas. ?Não tem o pensamento ?se nunca vimos um endereço IP sírio acessar essa conta antes, vamos bloqueá-lo??, disse Sullivan.

Apenas como comparação, o Facebook oferece papeis hierárquicos de administração ? para que nem todos com acesso a uma conta no Facebook tenham os mesmos direitos de acrescentar ou alterar outras contas ou senhas ? e também observa logins de locais desconhecidos, com base em endereço IP. Tente fazer login da Síria pela primeira vez, mesmo que você use a senha correta, certos aspectos de administração de sua conta, como suas configurações de segurança, podem estar desabilitadas enquanto você não utilizar um dispositivo verificado pelo mesmo e-mail cadastrado na conta.

Os donos das contas podem ver sessões ativas ? incluindo dispositivos usados para acesso da conta e horário do login ? e desativar qualquer uma dessas sessões.

Por que o Twitter ainda não usa funções semelhantes? ?Sinceramente, se eles criassem algo como Twitter Pro, a AP pagaria por isso, e eles optariam por esse acesso e a conta estaria protegida?, disse Sullivan. ?E é que claro que isso não se aplicaria a todos os usuários, porque nem todos precisam disso?.

Para muita gente, o Twitter é apenas uma diversão ? um serviço gratuito para canalizar sagacidade e inteligência em 140 caracteres ou menos. Entretanto, não se trata de uma rede local usada por algumas centenas de pessoas, com membros inclinados a se divertirem com trotes. Em vez disso, se tornou um sistema de comunicação global de disseminação de informação sobre tudo, desde os ataques a Boston e alertas de desastres até o relato de problemas com serviços e emergências públicas.

Conforme mais pessoas passam a confiar nesse sistema, mais urgente se torna a necessidade do Twitter por segurança mais adequada.