Verificatie via sms’jes is volgens Twitter geen wenselijke situatie, onder meer omdat sms-verkeer onderschept kan worden of omdat hackers de gebruikte OATH-tokens kunnen opslurpen als er op de server wordt ingebroken.

Twitter heeft daarom een andere methode waarbij gebruikers met hun eigen sleutel communiceren met de microbloggingsdienst om zich aan te melden. In plaats van sms’jes, gebruikt het nieuwe systeem een splinternieuwe verificatiefunctie in de Twitter-app voor iOS en Android.

Sleutel naar app

De telefoon genereert een 2048-bit asymmetrisch sleutelpaar waarbij lokaal een privésleutel wordt opgeslagen en de publieke op een server van Twitter komt te staan. Bij het inloggen op de site, wordt er een bevestiging die is afgeleid uit de publieke sleutel naar de mobiele applicatie gestuurd waarna de gebruiker de toegang op Twitter goed- of afkeurt.

Met de bevestiging wordt een unieke code teruggestuurd op basis van de privésleutel die geverifieerd wordt door Twitter. Een belangrijk voordeel voor gebruikers – behalve dat je geen mobiel bereik hoeft te hebben – is dat er geen nummers meer hoeven worden ingetoetst, maar de gebruiker verifieert door de toegangsaanvraag te bevestigen.

Marlinspike en Miller

Bij het eventuele onderscheppen van de publieke sleutel, is een hacker dan nog steeds niet in staat om in te loggen op iemands Twitter-account, omdat deze niet beschikt over de privésleutel. Een alternatieve methode is door het gebruik van een back-up-code. Gebruikers bewaren deze voor het geval ze geen telefoon in de buurt hebben.

Twitter timmert stevig aan de weg aan encryptiemethodes. Eerder kocht het bedrijf de cryptotoko van vooraanstaand hacker Moxie Marlinspike. En vorig jaar haalde het bedrijf de bekende beveiligingsexpert Charlie Miller – voorheen NSA-mederwerker en nu vooral bekend als de Mac-hacker – in huis.

De nieuwe authenticatiemethode van Twitter