Twitter permet désormais d’utiliser les clés de sécurité comme seul moyen d’authentification

Le gazouilleur offre la possibilité à ses utilisateurs d’utiliser des clés de sécurité, à l’instar de celles de Yubico ou de Google, comme seul moyen d’authentification à deux facteurs. Ce qui évite d’avoir à donner son numéro de téléphone au réseau social américain.

Twitter, comme la plupart des services en ligne, encourage ses utilisateurs à recourir à l’authentification à deux facteurs. Ce qui, pour beaucoup, semble une tentative bien maladroite de récupérer les numéros de téléphone de ses inscrits. Cependant le réseau social assure qu’il se soucie avant tout de la sécurité des utilisateurs, et joint le geste à la parole.

Il est en effet possible d’utiliser une ou plusieurs clés de sécurité comme seule méthode d’authentification. « Nous savons que c'est important pour les gens car tout le monde n'est pas en mesure d'avoir une méthode de sauvegarde 2FA ou ne veut pas partager son numéro de téléphone avec nous. Avec cette mise à jour, nous voulons que chacun se sente habilité à activer les clés de sécurité pour mieux sécuriser son compte Twitter » explique l’oiseau bleu.

Une mesure clé

Le support des clés de sécurité remonte chez Twitter à 2018, mais uniquement pour twitter.com et avec l’obligation d’activer une autre forme de 2FA (two factors authentication). Ce n’est que l’année suivante qu’il a pris en charge la norme WebAuthn puis, en 2020, a étendu l’usage des clés de sécurité à ses applications mobiles. Plus tôt cette année, Twitter a également ajouté la possibilité d’enregistrer plusieurs clés, utiles pour les comptes gérés par plusieurs personnes notamment, ou en cas de perte de l’une des clés.

Le gazouilleur rappelle d’ailleurs que si le 2FA vaut mieux que rien, toutes les méthodes d’authentification ne se valent pas et qu’à ce titre « les clés de sécurité physiques sont les plus efficaces ». Ces clés, basées sur les normes de sécurité FIDO et WebAuthn, peuvent ainsi bloquer les tentatives d’interception (le SIM swap par exemple), ce que les SMS ou les codes de vérification ne peuvent.