Bleeping Computer网站披露,3月20日开始,Twitter不再支持普通用户基于短信的双因素身份认证(2FA)方式,只有购买Twitter Blue服务的订阅用户才能继续使用。如果用户没有计划注册Twitter Blue,将被要求使用FIDO authenticator(硬件安全密钥或身份验证应用程序)作为2FA身份验证方式。从Twitter发布的安全报告来看,2021年7月至2021年12月,只有2.6%的用户使用了双因素认证,在这些用户中,74.4%使用基于短信的双因素身份认证,28.9% 使用FIDO authenticator。
短信双因素认证可能会遭遇SIM卡交换攻击(攻击者通过欺骗或贿赂运营商员工将号码重新分配给攻击者控制的SIM卡,以期控制目标的手机号码)。此举使得攻击者轻松在其设备上使用受害者电话号码,接收短信验证码,甚至直接使用部分使用电话号码作为登录凭证的账户。埃隆·马斯克(Elon Musk)非常支持此次禁止非Twitter Blue用户使用短信双因素认证。马斯克指出,仅仅在假冒2FA短信上,每年损失约6000万美元。
据悉,为确保账户安全,更好的选择是使用硬件安全密钥(例如Google Titan或FEITIAN FIDO)。这些是一种具有USB或NFC连接的小型设备,可以自动响应2FA请求并登录到账户,之所以被认为是最安全的,因为这些都是物理设备,必须插入计算机并才能登录用户的账户。
另一种相对较好的选择是使用双因素身份验证应用程序,如Google Authenticator、Microsoft Authenticator和Authy。用户在网站上设置双因素/多因素认证时,网站将显示用户使用认证应用程序扫描的二维码,扫描后,网站将在应用程序中注册,以生成2FA代码,该代码必须提交到网站才能登录到用户的账户。
目前,虽然许多用户不同意新改革的处理和推出方式,但不得不承认,此次改革可能会为选择不订阅Twitter Blue的用户带来更好的安全性。