19 marca Twitter wyłączy 2FA via SMS, ale bez paniki
Twitter ogłosił, że 19 marca 2023 roku wyłączy dla niepłatnych kont (czyli nie opłacających tego niebieskiego znaczka) funkcję weryfikacji tożsamości metodą wykorzystującą jednorazowe kody wysyłane SMS-em. Nic strasznego, wystarczy przejść na inną metodę 2FA, czyli uwierzytelniania dwuskładnikowego. Co mamy w menu?
I gwoli wyjaśnienia. Twitter nie likwiduje w pełni nieco archaicznej już w trzeciej dekadzie XXI wieku metody dwuskładnikowego uwierzytelniania wykorzystującej wiadomości SMS, lecz przenosi tę metodę do wersji płatnej serwisu. Jeżeli ktoś upiera się przy tej metodzie, może przy niej pozostać, wystarczy że będzie płacić 36 zł miesięcznie (tyle to kosztuje w Polsce przy miesięcznym rozliczeniu) za Blue. Są chętni? Zapewne niewielu. I dobrze, bo wcale nie trzeba rezygnować z 2FA, by dalej korzystać z bezpłatnej wersji Twittera. Wystarczy tylko zmienić metodę dwuskładnikowego uwierzytelniania. To dobry moment, by wybrać znacznie bezpieczniejsze od SMS-ów rozwiązanie.
Najprostszym sposobem jest skorzystanie z powszechnie dostępnych, bezpłatnych aplikacji do generowania kodów jednorazowych dla uwierzytelniania dwuskładnikowego. Wymienię tylko dwa: Microsoft Authenticator oraz Google Authenticator. Oprócz tego możliwe jest również użycie sprzętowych kluczy uwierzytelniających, ale to już jest opcja płatna (trzeba taki klucz kupić), zatem skoro nie chcemy płacić za Twittera to myślę, że nie będziemy również skłonni do płacenia za klucz by z Twittera korzystać, tym bardziej, że dzięki wspomnianym aplikacjom mobilnym, bezpłatnym, możemy korzystać dalej z uwierzytelniania dwuskładnikowego i to bezpieczniej niż w przypadku metody opartej na jednorazowych kodach wysyłanych SMS-em.
OK, jak to uruchomić? Wchodzicie na Twittera (opisuję na podstawie wersji przeglądarkowej), klikacie Więcej, a następnie kolejno Ustawienia i pomoc oraz Ustawienia i prywatność. Teraz wybieracie Bezpieczeństwo i dostęp do konta, a po prawej Bezpieczeństwo. Kolejny etap: klikacie Dwustopniowa weryfikacja logowania, następnie odhaczacie checboksa przy SMS (bo tę funkcję i tak w Twitterze wyłączają w najbliższą niedzielę) i zaznaczacie Aplikacja uwierzytelniająca. Teraz serwis poprosi was o uwierzytelnienie się (dotychczasową metodą).
Zakładam, że aplikację (np. Google Authenticator, ale może to być m.in. Authy, Duo Mobile, czy 1Password, co wolicie, ja używam Google Authenticator) macie już zainstalowaną, zaakceptujcie kolejne okienko w Twitterze i po chwili wyświetli się wam kod QR, który należy odczytać za pomocą aplikacji uwierzytelniającej (u mnie Google Authenticator). Po zeskanowaniu kodu aplikacja automatycznie powiąże twoje konto na Twitterze z mechanizmem uwierzytelniania dwuskładnikowego, trzeba jeszcze tylko podać Twitterowi kod wygenerowany przez aplikację i gotowe.
Uwaga, na koniec warto zapisać gdzieś prezentowany w tym momencie (i tylko w tym) przez Twittera zapasowy kod jednorazowy, użyteczny w sytuacji, gdy będziecie musieli zalogować się do usługi, a szlag trafi wasz telefon (i aplikację uwierzytelniającą wraz z nim). Zapiszcie go, zapamiętajcie, cokolwiek. Może się przydać. Po zamknięciu okna z kodem macie już 2FA bez SMS-ów. Nie było trudne, prawda?