Bestaande Twitter-gebruikers die van tweefactorauthenticatie (2FA) via sms gebruikmaken zullen hier vanaf 20 maart voor moeten betalen. Dat meldde Security.nl onlangs. Het platform heeft de beveiligingsmaatregel namelijk onderdeel gemaakt van het betaalde Twitter Blue-abonnement. Voor velen reden om me te vragen, “mag dat wel” met name omdat de AVG adequate beveiliging eist en dit toch een manier is om velen van de sms 2fa af te krijgen.
De reden die Twitter opgeeft is het veelvoorkomende misbruik van deze functie, wat met name een probleem is omdat elk sms-bericht Twitter geld kost (en niet de gebruiker). Twitterbaas Musk stelt dat dit aan bots van de telecomoperators zou liggen, wat ik niet helemaal begrijp maar ik ben dan ook maar een jurist.
Oké, dus mag het van de AVG? Die eist immers dat je persoonsgegevens adequaat beveiligt (art. 32) en bij online dienstaccounts van de omvang van Twitter is 2fa dan wel een aangewezen maatregel. Alleen: specifiek de vorm met sms is dan weer de slechtste keuze, omdat sim swapping een makkelijke truc is om de authenticatieberichten om te leiden en daarmee het account te kapen. Een 2fa authenticatieapp of liever nog een securitykey zijn veel betere opties.
De ophef komt met name omdat mensen die voor 2fa kiezen, vrijwel altijd voor sms kiezen en dan zich nu gedwongen zien om over te stappen. Beter zou zijn om nu dus te wisselen naar een authenticatieapp. En dat mag van de AVG.
Arnoud