Después de otra serie de fuertes ataques a las cuentas, Twitter ha fortalecido su seguridad con una nueva opción de autenticación de doble factor basada en una aplicación.

Un detallado artículo de WIRED sugiere que la nueva medida de seguridad puede proporcionar una solución integral que elimine la dependencia respecto a terceros o el uso de códigos de verificación mediante mensajes SMS de texto.

El nuevo proceso de seguridad parece bastante sencillo, ya que un usuario se registra mediante la aplicación móvil, que genera entonces un par de claves RSA de 2048-bit. Esta clave privada reside exclusivamente en el teléfono, mientras que la clave pública es cargada al servidor de Twitter.

Cuando Twitter recibe una nueva solicitud de inicio de sesión con un nombre de usuario y contraseña, su servidor le envía al usuario una prueba en forma de un parámetro aleatorio de 190 bits, 32 caracteres, y una notificación que contiene el tiempo, ubicación e información de navegador asociados con la solicitud de inicio de sesión.

El usuario puede entonces optar por aprobar o denegar la solicitud de inicio de sesión. Si es aprobada, WIRED explica que la aplicación contesta con su clave privada y retorna la información al servidor. El servidor la compara con una identificación de solicitud y, si es auténtica, el usuario automáticamente entra en el inicio de sesión.

Dicho de otra manera, los datos sensibles siguen estando guardados por el usuario, no están en una base de datos o servidor. De modo que en teoría, si se produjera otro hackeo, los autores del mismo podrían quizás acceder al servidor, pero no podrían acceder a cuentas específicas porque no dispondrían de la clave generada que está almacenada exclusivamente en el dispositivo del usuario.

Ciertamente, este es un paso que Twitter ha dado en la dirección correcta, pero la solución es aún nueva y en el transcurso del tiempo se le deben adicionar otras medidas. Una utilidad que está siendo considerada, permitiría que múltiples personas accedan a la misma cuenta, lo que es una función valiosa para los clientes de Twitter de medios noticiosos que son blanco frecuente de ataques. Esta idea le proporcionaría a los clientes de Twitter que son terceras partes la posibilidad de producir autorizaciones y aprobaciones de inicios de sesión sin tener que generar una contraseña temporal.

Para más información, vea el blog oficial de Twitter.