X (ex Twitter): aggiornate la chiave di sicurezza 2FA. Rischio di blocco dell'account

X, la piattaforma precedentemente nota come Twitter, ha annunciato un aggiornamento importante per gli utenti che utilizzano chiavette hardware come metodo di autenticazione a due fattori (2FA). Tutti i gestori di account X (ex Twitter) sono chiamati registrare nuovamente le proprie chiavette entro il 10 novembre 2025: diversamente, gli account saranno temporaneamente bloccati.

Secondo un comunicato ufficiale, il motivo principale non riguarda problemi di sicurezza, ma la transizione dal dominio twitter.com al dominio x.com, fortemente voluta dal nuovo proprietario della piattaforma, Elon Musk. Le chiavi di sicurezza precedentemente registrate erano associate al vecchio dominio Twitter: per garantire la continuità della protezione 2FA, gli utenti devono riassociare le proprie chiavi al nuovo dominio. La procedura di re-enrollment permette a X di ritirare il vecchio dominio senza compromettere la sicurezza degli account.

Cosa succede se non si registra di nuovo il token hardware su X

Dopo il 10 novembre prossimo, gli account degli utenti che non avranno completato il processo di aggiornamento subiranno alcune restrizioni, fino a quando non si sceglierà una delle opzioni disponibili:

• Nuova registrazione della chiave di sicurezza precedentemente in uso su Twitter.
• Registrazione di una nuova chiave hardware.
• Passaggio a un altro metodo 2FA, come le app di autenticazione.
• Disattivazione della 2FA (sconsigliata).

X sottolinea che l’operazione riguarda esclusivamente chiavi hardware e passkey, mentre altri metodi 2FA, come le app di autenticazione, non sono coinvolti.

Come registrarsi per l’autenticazione a due fattori con chiave di sicurezza su X

Il processo è semplice e guidato dalla piattaforma. È sufficiente accedere a Impostazioni e privacy, Sicurezza e accesso all’account, Sicurezza, Autenticazione a due fattori.

A questo punto bisogna scegliere se utilizzare un’app di autenticazione o una chiave di sicurezza. Basta attenersi alle istruzioni per registrare di nuovo la chiave hardware esistente o collegarne una nuova.

Le chiavi di sicurezza hardware sono dispositivi fisici che generano e gestiscono i codici di autenticazione a due fattori. Sul mercato ce ne sono diverse, tra cui le più comuni sono le Yubico, disponibili in più modelli.

Come funziona tecnicamente lo scambio delle chiavi

Il principio tecnico dietro le chiavi hardware si basa sulla crittografia a chiave pubblica. Il token hardware genera una coppia di chiavi: privata (rimane sulla chiave) e pubblica (registrata sul servizio online, ad esempio Twitter/X).

Quando si accede all’account, il servizio invia una sfida crittografica (challenge) alla chiave. La chiave firma la sfida con la chiave privata e la invia indietro. Il server verifica la firma usando la chiave pubblica memorizzata. Solo chi possiede la chiave fisica può generare la risposta corretta, garantendo che l’accesso sia sicuro.

Nel caso in questione, la chiave pubblica è associata al dominio twitter.com. Con la transizione a x.com, il server di autenticazione verifica la sfida in base al nuovo dominio. La chiave hardware non ha informazioni sul nuovo dominio e quindi non può autenticare l’utente: per questo motivo X chiede di aggiornare quanto prima.

Non è infatti cambiata la chiave privata sull’hardware, ma il server deve riconoscere l’account sul nuovo dominio. Senza questo passaggio, il login fallisce perché la verifica della firma non può andare a buon fine.