Equipe de tecnologia / Autoridade Android
Resumo
- Alguns usuários do Spotify estão sendo solicitados a inserir um código 2FA ao fazer login em suas contas em um novo dispositivo.
- O recurso foi implementado em contas selecionadas, mas aparentemente não há como gerenciá-lo ou ativá-lo.
- Os códigos de segurança são entregues exclusivamente por e-mail e, no momento, não há como configurar o recurso 2FA usando um aplicativo de terceiros.
Os hacks do Spotify não são inéditos, e vários ladrões fazem login em contas premium usando credenciais vazadas. Isso é para evitar pagar pelo serviço e aproveitá-lo sem anúncios ou restrições. A boa notícia é que o Spotify finalmente ouviu seus usuários e aparentemente está lançando um recurso de autenticação de dois fatores (2FA). A má notícia é que ele não é confiável, funciona de forma imprevisível e não foi implementado corretamente.
De acordo com algumas postagens do Reddit (1, 2), o Spotify agora está solicitando que alguns usuários insiram um código 2FA ao tentar fazer login em suas contas. O serviço entrega o código de seis dígitos por meio de um e-mail enviado ao endereço usado para registro. O usuário pode então acessar sua conta, uma vez que o e-mail, a senha e o código 2FA inseridos sejam verificados.
Embora ter essa camada extra de segurança seja uma mudança bem-vinda, certamente está longe do ideal. Para começar, nem todas as contas estão sendo solicitadas a inserir um código 2FA ao fazer login em um novo dispositivo. Isso sugere que o recurso está sendo implementado gradualmente.
Em segundo lugar, aparentemente não há como gerenciar ou alternar o recurso nas configurações da sua conta, e ele não necessariamente pede um código toda vez que você tenta fazer login. Por último, mas não menos importante, você não pode configurar o recurso 2FA para sua conta do Spotify usando um aplicativo de terceiros; você está limitado ao método de entrega de e-mail padrão.
Engraçado, o Spotify já oferece às contas de artistas um recurso 2FA adequado com suporte para aplicativos de terceiros e entrega de SMS. Então, tecnicamente falando, deveria ser relativamente simples para ele trazer a mesma execução para contas de consumidores, mas ele opta por não fazer isso. Ainda não se sabe se o recurso 2FA recém-adicionado e abaixo da média irá evoluir em um futuro próximo.