Bleeping Computer网站披露，3月20日开始，Twitter不再支持普通用户基于短信的双因素身份认证（2FA）方式，只有购买Twitter Blue服务的订阅用户才能继续使用。如果用户没有计划注册Twitter Blue，将被要求使用FIDO authenticator（硬件安全密钥或身份验证应用程序）作为2FA身份验证方式。从Twitter发布的安全报告来看，2021年7月至2021年12月，只有2.6%的用户使用了双因素认证，在这些用户中，74.4%使用基于短信的双因素身份认证，28.9% 使用FIDO authenticator。

　　短信双因素认证可能会遭遇SIM卡交换攻击（攻击者通过欺骗或贿赂运营商员工将号码重新分配给攻击者控制的SIM卡，以期控制目标的手机号码）。此举使得攻击者轻松在其设备上使用受害者电话号码，接收短信验证码，甚至直接使用部分使用电话号码作为登录凭证的账户。埃隆·马斯克（Elon Musk）非常支持此次禁止非Twitter Blue用户使用短信双因素认证。马斯克指出，仅仅在假冒2FA短信上，每年损失约6000万美元。

　　据悉，为确保账户安全，更好的选择是使用硬件安全密钥（例如Google Titan或FEITIAN FIDO）。这些是一种具有USB或NFC连接的小型设备，可以自动响应2FA请求并登录到账户，之所以被认为是最安全的，因为这些都是物理设备，必须插入计算机并才能登录用户的账户。

　　另一种相对较好的选择是使用双因素身份验证应用程序，如Google Authenticator、Microsoft Authenticator和Authy。用户在网站上设置双因素/多因素认证时，网站将显示用户使用认证应用程序扫描的二维码，扫描后，网站将在应用程序中注册，以生成2FA代码，该代码必须提交到网站才能登录到用户的账户。

　　目前，虽然许多用户不同意新改革的处理和推出方式，但不得不承认，此次改革可能会为选择不订阅Twitter Blue的用户带来更好的安全性。