Twitter agora vai cobrar pela verificação por SMS

Em uma notícia que pegou muita gente desprevenida, o Twitter anunciou que a confirmação de identidade por SMS será agora uma modalidade exclusiva para assinantes do Twitter Blue, a versão “paga” da rede social. A novidade foi confirmada primeiro em seu blog oficial, mas depois vários usuários relataram mensagens da empresa, que lhes pediu para desativar o modal de seus perfis.

A confirmação via SMS é um dos modelos de verificação em duas etapas de identidade – ou, no termo técnico, “2FA”: essencialmente, é uma camada a mais de segurança que prevê que você ofereça um código aleatório enviado ao seu celular por mensagem de texto, após inserir seu usuário e senha para se logar na rede social.

Imagem: Twitter/Reprodução

De acordo com o CEO do Twitter, Elon Musk, a mudança se deu por dinheiro: em resposta ao questionamento de um usuário, o bilionário respondeu que a empresa estava “sendo roubada em US$ 60 milhões (R$ 310,07 milhões) ao ano de companhias que enviam falsas mensagens de confirmação de login”.

Twitter is getting scammed by phone companies for $60M/year of fake 2FA SMS messages

— Elon Musk (@elonmusk) February 18, 2023

Posteriormente, para outros usuários, Musk ressaltou que o uso de aplicativos externos para verificação de identidade continuará gratuito e “é melhor”.

Use of free authentication apps for 2FA will remain free and are much more secure than SMS https://t.co/pFMdxWPlai

— Elon Musk (@elonmusk) February 18, 2023

Você não precisa da verificação por SMS (mas sim, ainda está errado cobrar por ela)

Musk não errou: o uso de aplicativos externos para a geração de códigos aleatórios de confirmação de identidade é infinitamente mais recomendável que contar com o mesmo recurso via mensagens de texto. A razão para isso é simples: o envio de um SMS pode ser interceptado no meio do caminho – no melhor cenário, um hacker tem o seu código, no pior, ele muda o código para beneficiar a ele, e não a você.

Com um app dedicado instalado no seu celular, isso é bem mais difícil de acontecer. Atualmente, os três apps mais conhecidos dessa linha são o Authy, o Google Authenticator e o Microsoft Authenticator. Todos eles têm versões para iOS e Android e são 100% gratuitos.

Para usar qualquer um deles, é simples: baixe o app de sua preferência e o instale em seu computador. Depois, vá para as configurações do Twitter, acesse a aba de Segurança e acesso à conta e habilite a opção “Verificação em duas etapas”. O painel vai exibir uma série de opções, mas a que você quer é aquela que menciona um aplicativo externo.

O Twitter vai lhe fornecer um código exclusivo, que deve ser levado ao app que você baixou e pronto – a rede social “entende” o app como uma via válida e qualquer código de login agora virá dele. Na prática, é o mesmo que a confirmação via SMS, sem o risco de interceptação e, o melhor, sem ter que pagar R$ 42 mensais pelo Twitter Blue.

Isso dito, a mudança para um sistema cobrado ainda traz problemas à já conturbada imagem da gestão de Elon Musk para o Twitter: embora o uso de apps terceiros seja algo fácil de ser compreendido pela geração atual, mas habituada à vida online, vários outros públicos podem sair perdendo com essa alteração.

No Twitter, muitos reclamaram, por exemplo, da terceira idade, onde há uma maior incidência de dúvidas sobre o setor tecnológico, e a mensagem de texto, justamente por ser mais inclusiva, mais imediata e não exigir ação por parte do usuário, é mais simples para essa parcela da população.

Houve também quem levantasse a possibilidade da rede se abrir para processos. Embora o tuíte abaixo não detalhe esta parte, é relativamente fácil deduzir que uma argumentação sobre o assunto em juízo poderia investir na ideia de que a empresa está fechando um aspecto importante da segurança digital a quem pagar por ele, alienando-o do restante da população.

Sei não, mas obrigar o usuário a retirar uma proteção contra invasores de dispositivo pode gerar algumas ações contra o Twitter pic.twitter.com/9uEssLZfwJ

— André Matheus (@andrematheus85) February 18, 2023

Funcionaria? Difícil dizer: várias fabricantes de smartphones que tentaram abandonar o plugue de tomada perderam ações especificamente no Brasil, então pode ser que esse argumento remeta a algo mais localizado e não ao Twitter como um todo. Ainda assim, se o objetivo de Musk é apenas o de economizar US$ 60 milhões anuais, ele pode acabar abrindo a empresa a custos bem maiores.

Mesmo nisso, há que se argumentar: e se você pagar pelo Twitter Blue, usar o modal via SMS e…ter uma conta interceptada ou acessada por um hacker? Quem é o responsável por isso? À primeira vista, faz sentido dizer que a culpa é do usuário por “investir no método menos seguro”, mas então por que a empresa o oferece em primeiro lugar?

Fora isso, o próprio Musk argumentar que o modelo via SMS é menos seguro ainda o torna mais incoerente: se é inseguro, por que mantê-lo? Não seria mais fácil simplesmente tirá-lo, explicar o motivo e deixar os outros modos – melhores, segundo o próprio CEO – gratuitos? Na prática, a economia seria a mesma e você ainda se previne de processos e ações com uma simples comunicação pública:

De um lado, você incentiva o público a adotar um modelo melhor. De outro, você estabelece um paradigma de abandono de um modelo defasado e, quem sabe, incentiva outras empresas do setor a seguirem seu exemplo.

Na essência, limitar a autenticação em dois fatores – ainda que só uma parte dela – a um público pagante é, na argumentação de alguns usuários da rede, o equivalente a oferecer o freio de mão de um carro como um diferencial de maior custo, porque, de graça, o veículo já vem com o freio do pedal. As justificativas são estranhas, e a execução, ainda mais estranha.