En numerosas ocasiones nos hemos hecho eco de los pasos que Twitter ha venido dando a lo largo del tiempo para que los usuarios protejan sus cuentas activando la autenticación de dos factores/verificación en dos pasos (2FA), sumando además las mejoras en el uso de las llaves de seguridad físicas en detrimento de otras opciones de autenticación adicionales menos seguras, sobre todo, la llegada de códigos mediante mensajes SMS.
Pues bien, como parte de la celebración del #CybersecurityAwarenessMonth, desde Twitter acaban de compartir los pasos de seguridad que han ido implementando a nivel interno a raíz del hackeo sufrido por la plataforma a inicios del verano pasado.
A raíz de hackeo masivo, la compañía explica que no sólo exigió en uso de la autenticación de dos factores de forma obligatoria a todos sus empleados, sino que además, han tenido que migrar los métodos 2FA heredados basados en los mensajes SMS y en las aplicaciones de autenticación hacia un método basado en las llaves de seguridad en un proceso que les ha llevado algo menos de tres meses.
La compañía explica que su elección de llaves de seguridad fueron la YubiKey 5 NFC y la 5C NFC, dado que buscaban que las mismas pudieran funcionar en una variedad de dispositivos. A todo ello se suma la adquisición de las mismas y el envío a su fuerza laboral distribuida a nivel global, con los problemas de la pandemia de por medio,, enviando las llaves de seguridad a unas 5.500 personas en todo el mundo en un complejo proceso con el que contaron con la ayuda del servicios de entrega y suscripción empresarial de Yubico.
Los empleados han podido registrar sus llaves de seguridad a medida de que las han ido recibiendo, sin perder el acceso a los sistemas, durante el periodo de transición, para lo que además han contado con guías visuales detalladas.
Es bastante el aprendizaje que hay detrás de todo ello, siendo interesante conocer que los empleados se pueden quedar con las llaves una vez salgan de la compañía, permitiéndoles proteger sus cuentas personales en Twitter y otras plataformas.
Twitter reconoce que aún hay algunos aspectos a mejorar sobre los sistemas de las llaves de seguridad existentes, como la necesidad de llevar el protocolo WebAuthn a las aplicaciones de escritorio basados en navegador web, en la mejora del proceso en caso de necesitar reemplazar una llave y actualizar los registros en todos los servicios donde se haya utilizado la anterior (internamente ofrecen una llave adicional de respaldo), además de la mejora en la usabilidad de las interfaces WebAuthn.
Todos los detalles están disponibles en el blog de ingeniería de Twitter.