Kaalslag bij Twitter: bij problemen sta je er alleen voor

Vorige week verloor journalist Chris Klomp toegang tot zijn openbare Twitter-account, met ruim 70 duizend volgers. Klomp runt ook een besloten, betaald account voor rechtbankverslagen. Ik vroeg hem vandaag hoe het ermee staat en of er schot in de zaak zit. Klomp: “Nee, er zijn helaas geen ontwikkelingen. Twitter reageert ook nergens op. Ik begin nu toch ernstig te vrezen dat ik het account niet meer terug ga krijgen.”

De problemen begonnen toen Klomp, vooruitlopend op het afschaffen van de gratis tweetrapsverificatie per sms, zijn account op een andere manier wilde beveiligen. De optie van een sms-code naast je reguliere wachtwoord (zogeheten two-factor authentication of 2FA) wordt later deze maand ondergebracht in het betaalde Twitter Blue-abonnement.

Klomp wilde de 2FA aanpassen omdat Twitter Blue op dat moment niet eens in Nederland te krijgen was. Hij stond kortom op het punt een belangrijke beveiligingslaag te verliezen.

Twitter Blue is sinds vandaag hier wel af te sluiten. Twitter Blue, met marginale extraatjes bovenop een regulier account, kost 8 euro per maand. Je krijgt dan ook weer de optie van een code-per-sms om je identiteit te bevestigen.

Het valt eigenlijk niet te verdedigen dat je zo’n fors bedrag moet neertellen voor een functionaliteit die bij alle andere diensten gratis gemeengoed is- hetgeen blijkt uit het geringe enthousiasme voor het nieuwe abonnement. Twitter laat er zelf niets over los, maar slechts enkele honderdduizenden mensen hebben zo’n abonnement afgesloten, schatten technologiesites.

Dat is minder dan één procent van alle huidige abonnees.

Opletten: wie geen Twitter Blue neemt, verliest op 20 maart aanstaande het sms’je als beveiligingsoptie

Na ontslagronde op ontslagronde, waarbij het werknemersaantal van 7500 in oktober vorig jaar naar zo’n 1300 is teruggevallen, is er feitelijk bijna niemand meer om je bij te staan als het misgaat. Van die 1300 zijn er zo’n 550 programmeurs die zich niet gebruikersondersteuning bezighouden.

Tread carefully kortom, als je een van de alternatieve gratis 2FA-opties activeert.

Alternatieven
Twitter biedt enkele gratis 2FA-opties. Ik gebruik zelf een zogeheten verificatie-app op mijn Android-telefoon (Google Authenticator) Er is ook een versie voor apparaten onder iOS/iPadOS.

Het concept is gelukkig simpel: je geeft bij Twitter in de veiligheidsinstellingen onder tweetrapsverificatie aan dat je een verificatie-app wil gaan gebruiken. Twitter genereert daarop een QR-code, die je vervolgens scant met de app.

In de app zie je vervolgens Twitter en daar achter een set cijfers, die voortdurend wisselen.

Wanneer je wil inloggen, vraagt Twitter om die set cijfers in plaats van je een sms’je te sturen met een code. De meeste sites ondersteunen deze vorm van tweetrapsverificatie, die ergens beter is dan sms-verificatie.

Daarnaast is er de optie voor een beveiligingssleutel. Dat is een platte usb-stick (soms in de vorm van een sleutel) waarvan de unieke technische eigenschappen bij elke inlogpoging worden gecontroleerd. Je moet hem dus altijd op zak hebben. Maar de vorm maakt het triviaal om die aan je sleutelbos te hangen. Een fysieke beveiligingssleutel kost 40 tot 60 euro.

Het Zweedse Yubico is een van de bekendste fabrikanten van zulke sleutels. Meer informatie over de werking van dit soort sleutels (en andere beveiligingstips) vind je op Laat Je Niet Hack Maken.

Ook deze vorm van 2FA is op de meeste moderne sites inmiddels gemeengoed.

Als laatste kun je eenmalig een set unieke codes laten genereren, die je vervolgens ergens veilig moet bewaren. Bij een inlogpoging wordt om zo’n code gevraagd, die na gebruik direct ongeldig is. Raak je de set codes kwijt, ben je buitengesloten. Ook Twitter kan je dan niet meer helpen. Ben je door de codes heen, moet je handmatig nieuwe genereren.

Het is van alle gratis opties in mijn optiek dan ook de minst aantrekkelijke.