O Twitter anunciou que a autenticação em duas etapas via SMS passa a ser um recurso pago, disponível apenas no Twitter Blue - plano que custa até R$ 60 mensais no Brasil. A mudança gerou bastante polêmica entre os usuários da rede social, que reclamaram da decisão.
Para entender o que mudou no Twitter é importante saber o que é a autenticação em duas etapas. Trata-se de um mecanismo de segurança que coloca uma etapa extra (como o próprio nome já diz) para o processo de login em uma plataforma. Além da senha, o usuário passa a precisar de um segundo código. Isso protege as contas de invasões, já que as senhas podem ser roubadas em campanhas de phishing ou em vazamentos de dados, por exemplo.
Antes da mudança, o Twitter dava três opções para realizar a dupla autenticação: código enviado por SMS, aplicativo de autenticação ou chave de segurança. Agora, só os dois últimos são gratuitos.
Dentre os três métodos de dupla autenticação, o código enviado por SMS é o mais fraco, já que também pode ser roubado por hackers em estratégias de phishing ou engenharia social. Apesar de não ser a melhor opção de todas, uma conta com dupla autenticação por SMS ainda é bem mais segura do que uma conta apenas com a senha.
Apesar de mais seguros, os outros dois métodos são mais difíceis de serem configurados e, sobretudo, são pouco difundidos. A chave de segurança é um dispositivo físico que precisa ser atrelado via USB para realizar a autenticação. Já os apps de autenticação são mais simples que a chave, mas ainda é necessário o download de uma aplicação extra (existem opções seguras e gratuitas, como o Google Authenticator, mas é importante lembrar que boa parte da população não tem acesso a smartphones com muito armazenamento nem com planos de internet completos).
A rede social optar por formas mais seguras de dupla autenticação não é o problema principal. A questão mais importante nessa discussão foi a má comunicação. No aviso que usuários brasileiros receberam sobre o fim da autenticação em duas etapas por SMS, o Twitter não explica sobre as outras duas opções nem dá instruções de segurança e de como ativar os outros métodos. Na prática, parece um incentivo da plataforma para que as pessoas simplesmente desativem a autenticação em duas etapas, o que é bastante provável de acontecer na maioria dos casos.
Outra questão central na discussão é que o Twitter não desativou por completo a autenticação em duas etapas por SMS, mas sim passou a cobrar por ela. A rede social tornou um recurso básico de segurança - e a mais acessível das opções - uma ferramenta premium, o que é bastante questionável.
Todas as grandes redes sociais têm a opção da dupla autenticação, e é fortemente recomendado ativá-la. A opção por SMS é sempre disponibilizada gratuitamente.
No Twitter, para quem não tem uma chave de segurança física, a única opção é usar a autenticação em duas etapas por um app externo. Algumas boas opções são Google Authenticator, Microsoft Authenticator, Authy, Duo Mobile e 1Password. Mesmo que o processo seja um pouco mais complicado que o do SMS, ele é seguro e protege sua conta.