Autenticação em duas etapas por SMS no Twitter será restrita a assinantes

No fim de semana, o Twitter anunciou que a autenticação em duas etapas feita por SMS será exclusiva para assinantes do Twitter Blue. A mudança causou tumulto nas redes sociais, com vários usuários insatisfeitos com a necessidade de pagar para poder utilizar o mecanismo de segurança.

• É seguro usar SMS para fazer autenticação de dois fatores?
• Como ativar a autenticação em duas etapas nas redes sociais

Em comunicado enviado aos usuários com a autenticação em duas etapas habilitada por mensagem de texto, o Twitter informou sobre a exclusividade da solução. Os usuários devem remover a ferramenta até 19 de março de 2023 para evitar perder acesso ao Twitter.

Ainda que o mecanismo de autenticação por SMS seja uma solução de segurança essencial, ela não é a mais apropriada. A autenticação de dois fatores com chave de segurança ou app de autenticação (Google Authenticator e Microsoft Authenticator, por exemplo) são mais eficientes e felizmente seguem gratuitas para todos.

Twitter paga caro por SMS

De acordo com o dono do Twitter, Elon Musk, a mudança acontece para evitar os encargos com o disparo de SMS. "O Twitter está sendo enganado por empresas de telefonia por US$ 60 milhões por ano de falsas mensagens SMS para autenticação de dois fatores", disse ele num tuíte.

Melhor solução, mas péssima execução

Retirar a gratuidade da autenticação de dois fatores no Twitter é uma alternativa interessante para enxugar ainda mais os gastos da plataforma, mas o alvoroço dos usuários acerca da novidade é justificada: quando mudanças desse nível são implementadas, geralmente as empresas tendem a incentivar a adoção de mecanismos melhores e gratuitos antes de dar o aviso final e ameaçá-los da perda da própria conta.

Num processo normal, em que a experiência do usuário é colocada como prioridade, o Twitter passaria meses incentivando a adoção de chave de autenticação ou app de autenticação para proteção, dispararia notificações acerca da novidade e, só depois, avisaria que a verificação por SMS seria exclusiva para pagantes.

Outra falha importante que afetou especialmente o público brasileiro foi um aparente erro de tradução no comunicado. No trecho "Você ainda pode remover os métodos de chave de segurança e o aplicativo de autenticação", a palavra "remover" parece ter sido um erro, uma vez que as alternativas de verificação seguem ativas e gratuitas. Para o leitor, porém, a interpretação mais provável é de que nenhuma autenticação de dois fatores estaria disponível — o que, ao menos por enquanto, não é verdade.