Via een nieuwe methode kunnen Twittergebruikers voortaan veiliger op hun account inloggen. Gebruikers krijgen door de methode een bericht op hun smartphone dat er wordt geprobeerd op hun Twitteraccount in te loggen. Het verzoek bevat informatie over de inlogpoging, die vervolgens door de gebruiker kan worden goedgekeurd of afgewezen.

In mei lanceerde de microbloggingdienst al twee-factor authenticatie via sms-berichten, waarbij gebruikers een eenmalig geldige code konden invoeren. Traditionele twee-factor authenticatieprotocollen gebruiken een gedeeld geheim tussen de gebruiker en de dienst waarop hij wil inloggen. Een probleem met deze protocollen is dat dit gedeelde geheim kan worden achterhaald als de aanvaller toegang tot de server krijgt.

Twitter heeft daarom voor een oplossing gekozen waarbij deze geheimen niet permanent worden opgeslagen en het materiaal dat voor de privésleutel wordt gebruikt niet de telefoon van de gebruiker verlaat. Dit ontwerp zou gebruikers moeten beschermen, zelfs als de server van Twitter wordt gehackt.

Daarnaast zijn er ook aanvallen tegen twee-factor authenticatie bekend waarbij het verzenden via sms werd aangevallen. Ook deze aanvallen worden door Twitter's oplossing voorkomen, aangezien de sleutel om het inloggen goed te keuren nooit het toestel verlaat. Een ander voordeel is dat gebruikers de code die via sms wordt verstuurd niet meer over hoeven te typen.

Sleutels

Als gebruikers zich voor de nieuwe inlogprocedure aanmelden genereert de smartphone een asymmetrisch 2048-bit RSA sleutelpaar, dat de privésleutel lokaal op het toestel opslaat en de publieke sleutel naar Twitter stuurt. Als een gebruiker inlogt via zijn gebruikersnaam en wachtwoord, genereert Twitter een challenge en request ID, die elk uit een 190-bit willekeurige nonce bestaan. Een nonce is een getal dat een protocol slechts één keer zal gebruiken. De request ID nonce wordt naar de browser of client gestuurd die zich probeert aan te melden, waarna er een pushbericht naar de telefoon wordt gestuurd waarin de inlogpoging wordt vermeld.

Via de Twitter app kunnen gebruikers deze requests bekijken, die verschillende gegevens bevatten, zoals tijd, geografische locatie, browser en de challenge nonce. Aan de hand van deze gegevens kan de gebruiker het verzoek goedkeuren. De client zal dan de privésleutel gebruiken om de challenge te signeren. Als de handtekening overeenkomt, kan er worden ingelogd.

De privésleutel wordt alleen op de telefoon bewaard. Toch hoeven gebruikers die hun telefoon verliezen niet te vrezen, aangezien die hun back-upcode kunnen gebruiken. Twitter adviseert gebruikers deze code ergens veilig op te slaan. Daarnaast is het ook verstandig om een back-up van de telefoon te maken. De nieuwe Twitter app is beschikbaar voor Android en iOS.