Twitterin myllerrysten aikakausi ei ota laantuakseen. Viestipalvelun omistaja Elon Musk on ilmoittanut tekstiviestipohjaisen kaksivaiheisen tunnistautumisen olevan pian ainoastaan maksavien Twitter Blue -käyttäjien saatavilla.
Palvelun blogiviestissä avataan muutosta sekä sen syitä tarkemmin. Tekstiviestillä saatava monivaiheinen tunnistautuminen poistuu ilmaiskäyttäjiltä 30. maaliskuuta. Mikäli käyttää kirjautumiseen tällä hetkellä tekstiviestillä saapuvaa koodia, on joko vaihdettava tunnistautumiskeinoa tai maksettava Twitter Blue -jäsenyydestä.
"Suosittelemme ilmaiskäyttäjiä harkitsemaan tunnistautumissovelluksen tai turva-avaimen käyttöä", kertoo Twitter viestissään.
"Nämä vaativat fyysistä pääsyä laitteeseen, minkä ansiosta ne ovat erinomainen tapa varmistaa tunnuksen turvallisuus."
Effective March 20, 2023, only Twitter Blue subscribers will be able to use text messages as their two-factor authentication method. Other accounts can use an authentication app or security key for 2FA. Learn more here:https://t.co/wnT9Vuwh5nFebruary 18, 2023
Maksamalla voi tyytyä tuttuun
Samassa viestissä kerrotaan ratkaisun pohjautuvan osittain SMS-viestillä toimivan tunnistautumisen väärinkäyttöön. Kuten Elon Muskin twiitissä mainitaan, yhtiö menetti runsaasti rahaa bottikäyttäjien tunnistautumiseen.
Mikäli haluaa edelleen käyttää tekstiviestipohjaista monivaiheista tunnistautumista, joutuu tästä maksamaan Twitter Blue -jäsenyyden kuukausihintaa. Palvelu kustantaa Euroopassa tällä hetkellä laitteesta riippuen 8 tai 11 euroa kuukaudessa. Vuositilauksen saa puolestaan 84 eurolla, jolloin voi myös muokata sekä peruuttaa twiittejä.
Tunnistautumiskeinon muuttaminen ei ole käyttäjien kannalta pelkästään huono asia, mutta ratkaisu on saanut monet ärsyyntyneeksi. Tietoturvaratkaisun siirtäminen maksumuurin taakse tuntuu kommenttien perusteella tietoiselta ärsyttämiseltä.
Monivaiheinen tunnistautuminen kuntoon
Monivaiheinen tunnistautuminen on käytännössä kaikissa tapauksissa tarpeen. Sen avulla saa kirjautumistunnukselleen lisäturvaa, eikä esimerkiksi pelkän salasanan vuotaminen avaa nettirikollisille pääsyä tilillesi.
Käytännössä kaksivaiheinen tunnistautuminen vaatii käyttäjätunnuksen ja salasanan syöttämisen jälkeen vielä ylimääräisen varmenteen. Tässä tapauksessa tekstiviesti on ollut suosiostaan huolimatta tietoturvan heikoin lenkki, sillä tekstiviestit voi katkaista, uudelleenohjata sekä yleensä lukea suoraan puhelimen näytöltä.
Suosittelemmekin hyödyntämään ennemmin ilmaissovellusta, joka luo uuden koodin alta aikayksikön. Erityisesti Googlen Authenticator on erittäin suosittu vaihtoehto.
Tekstiviestipohjaisen ratkaisun heikkous herättää kysymyksen siitä, miksei Twitter poistanut sitä kokonaan käytöstä. Todennäköisesti monet pitävät siitä kuitenkin yhä niin paljon, että päätöksellä voi olla vaikutusta kuukausitilausten määrään. Miten moni on kuitenkaan valmis maksamaan vain saadakseen tämän MFA-konstin käyttöönsä, sitä tuskin tietää Twitterkään.
On hyvin mahdollista, että monet tekstiviestiä käyttäneet twiittailijat yksinkertaisesti poistavat koko monivaiheisen tunnistautumisen käytöstä. Tätä emme voi missään nimessä suositella, sillä se altistaa tilisi täysin turhalle riskille.
