L'app di Tweppy si avvale di un meccanismo di autenticazione via "token di sicurezza".
Questo meccanismo prevede che quando l'utente esegue l'accesso, il server verifica la password e, in caso di esito positivo, genera e restituisce all'app un codice temporaneo da utilizzare per le comunicazioni con il server.
Questo codice, per motivi di sicurezza, ha una certa validità, che in media è di 36 ore, ma può variare in base a diversi parametri del sistema operativo.
L'app verifica la validità residua del codice ogni volta che ne fa uso, ovvero ogni qualvolta si accede all'app e, quando il codice è prossimo alla scadenza l'app stessa chiede al server un nuovo codice.
Il processo è trasparente all'utente, che non si accorge di nulla se utilizza l'app con regolarità.
Se l'app non viene utilizzata allora non fa uso del codice di autenticazione e di conseguenza questo rischia di scadere; in questo caso, l'app, quando avrà bisogno del codice, dovrà richiedere la password all'utente per generare un nuovo token di autenticazione.
Esiste inoltre un ulteriore meccanismo di sicurezza che produce la disconnessione dell'utente dall'app e successiva richiesta di accesso.
Questo meccanismo prevede che superata una certa soglia di errori sconosciuti di comunicazione con il server, il codice di autenticazione venga ritenuto non più valido e venga fatto scadere prematuramente.
Questa condizione, infatti, può potenzialmente indicare un tentativo di connessione da parte di malintenzionati che in qualche modo sono venuti in possesso del codice di autenticazione.
La stessa condizione, tuttavia, si verifica anche in caso di utilizzo dell'app in condizioni di scarsa o pessima connettività, ma non essendo possibile distinguere tra i due casi il server sceglie la via più sicura, facendo scadere il codice di autenticazione e quindi mettendo l'app nelle condizioni di dover richiedere la password all'utente.
In sintesi, un utilizzo regolare dell'app in condizioni di connettività normali fa sì che il codice di autenticazione temporaneo venga continuamente rinnovato e non sia quindi necessario reinserire le proprie credenziali.
Al contrario, ignorare le notifiche e utilizzare l'app solo saltuariamente fa sì che i codici di autenticazione scadano e si renda quindi necessario re-inserire le proprie credenziali per accedere.