3 月 20 日開(kāi)始��,不再支持普通用戶基于短信的雙因素身份驗(yàn)證(2FA)方式,只有購(gòu)買(mǎi) Twitter Blue 服務(wù)的訂閱用戶才能繼續(xù)使用�����。
圖片來(lái)自網(wǎng)絡(luò)/侵刪
從 Twitter 發(fā)布的安全報(bào)告來(lái)看�����,2021 年 7 月至 2021 年 12 月����,只有 2.6% 的用戶使用了雙因素認(rèn)證�����,在這些用戶中�����,74.4% 使用的是 SMS 2FA���,28.9% 使用驗(yàn)證器應(yīng)用程序���,0.5% 使用硬件安全密鑰。
馬斯克支持此次驗(yàn)證變革
短信驗(yàn)證帶來(lái)的安全隱患已經(jīng)持續(xù)了很久,埃隆·馬斯克(Elon Musk)指出����,僅僅在假冒 2FA 短信上,每年損失約 6000 萬(wàn)美元��。
圖片來(lái)自網(wǎng)絡(luò)/侵刪
馬斯克非常支持此次禁止非 Twitter Blue 用戶使用短信雙因素認(rèn)證�����,并指出相對(duì)于短信印證�,驗(yàn)證器應(yīng)用程序安全得多。
短信雙因素認(rèn)證可能會(huì)遭遇 SIM 交換攻擊風(fēng)險(xiǎn)( SIM 交換攻擊:指威脅攻擊者通過(guò)欺騙或賄賂運(yùn)營(yíng)商員工將號(hào)碼重新分配給攻擊者控制的 SIM 卡����,以期控制目標(biāo)的手機(jī)號(hào)碼),此舉使得攻擊者輕松在其設(shè)備上使用受害者電話號(hào)碼�����,接收短信(短信多因素認(rèn)證(MFA)碼)��,甚至直接登錄部分使用電話號(hào)碼作為憑證的帳戶��。
Twitter 建議用戶使用強(qiáng)驗(yàn)證方式保護(hù)帳戶安全
值得一提的是��,此次變革后,如果用戶沒(méi)有計(jì)劃注冊(cè) Twitter Blue��,就會(huì)被要求使用安全密鑰或身份驗(yàn)證應(yīng)用程序作為 2FA 身份驗(yàn)證方式��。
目前����,雖然許多用戶不同意新改革得處理和推出方式,但不得不承認(rèn)���,此次改革可能會(huì)為選擇不訂閱 Twitter Blue 的用戶帶來(lái)更好的安全性����。
據(jù)悉��,為確保賬戶安全�����,最好的選擇是使用硬件安全密鑰���,例如 Google Titan 或 Yubiky,這些是一種具有 USB 或 NFC 連接的小型設(shè)備�,可以自動(dòng)響應(yīng) 2FA 請(qǐng)求并登錄到帳戶, 之所以被認(rèn)為是最安全的,因?yàn)檫@些都是物理設(shè)備����,必須插入計(jì)算機(jī)并才能登錄用戶的帳戶。
另一種相對(duì)較好的選擇是使用雙因素身份驗(yàn)證應(yīng)用程序�,如 Google Authenticator、Microsoft Authenticator 和 Authy����。
用戶在網(wǎng)站上設(shè)置雙因素/多因素認(rèn)證時(shí),網(wǎng)站將顯示用戶使用認(rèn)證應(yīng)用程序掃描的二維碼����,掃描后,網(wǎng)站將在應(yīng)用程序中注冊(cè)�,以生成 2FA 代碼,該代碼必須提交到網(wǎng)站才能登錄到用戶的帳戶�����。
最后���,強(qiáng)烈建議用戶在平時(shí)使用的在線帳戶(包括 Twitter)上啟用 2FA����,并使用驗(yàn)證器或硬件安全密鑰,以確保賬戶安全����。
(碼上科技)
