Twitterが無料ユーザーへのSMS(携帯電話番号宛てのテキストメッセージ)を使った2要素認証(2FA)の提供を終了させる。同社によると、電話番号に基づいた2要素認証の悪用が確認されている。有料サービス「Twitter Blue」のユーザーには引き続き同機能を提供する。
Twitterは2要素認証に、SMS、認証アプリ、セキュリティキーの3つの手段を用意している。Blueに加入していないユーザーは2月15日から新たにSMSを2要素認証に登録できなくなっており、3月20日以降はSMSを2要素認証の方法として使用できなくなる。そのためSMSを2要素認証に用いている無料ユーザーに、SMSによる2要素認証を無効化して認証アプリまたはセキュリティキーに変更するように呼びかけている。
-
Blueに加入していないアカウントでSMSを2要素認証にしようとすると、別の方法を選択するように求められる。
Twitterのアカウントセキュリティに関する報告書(2021年7月〜12月のデータ)によると、1つ以上の2要素方式を有効にしているアクティブなアカウントの割合は全体の2.6%。内訳は、SMS(74.4%)、認証アプリ(28.9%)、セキュリティキー(0.5%)となっている。SMSが多数を占めているのが現状であり、物理的なセキュリティによってアカウントの安全性を高める認証アプリまたはセキュリティキーへの移行を促す。Blueで引き続きSMSによる2要素認証を提供する理由は明らかにしていない。Blueユーザーは支払い情報を登録しており、本人確認が行われているという違いがある。
