Twitter 上周宣布计划为非付费客户推出一种流行的双因素身份验证方法。这不仅会使您的帐户更容易受到攻击,而且甚至可能破坏整个平台的安全性,并为其他网站树立一个危险的先例。
双因素身份验证或 2FA 在密码保护之外增加了一层安全性。容易被黑客猜到的弱密码、泄露的密码或可以引诱用户获取密码详细信息的网络钓鱼攻击都可能导致不需要的第三方帐户访问。
有了 2FA,用户就有了另一道防线。仅输入密码不足以获得帐户访问权限,相反,用户会通过短信收到通知,或者使用身份验证器应用程序或安全密钥来批准访问。
安全意识组织 SocialProof Security 的首席执行官雷切尔·托巴克 (Rachel Tobac) 告诉 Engadget,“双因素身份验证不应该在付费专区后面,尤其是我们发现大多数日常用户使用的双因素认证的最入门级别。”
从 3 月 20 日开始,非 Twitter 订阅者将无法再使用短信身份验证进入他们的帐户。如果用户不设置另一种形式的 2FA,该功能将自动禁用。这会使不迅速采取行动更新其设置的用户面临风险。
如果您不想每月为 Twitter Blue 订阅支付 8 到 11 美元,仍然有一些选项可以确保您的帐户安全。在安全和账户访问设置下,Twitter 用户可以更改为“身份验证应用程序”或“安全密钥”作为他们选择的双因素身份验证方法。
基于软件的身份验证应用程序,如 Duo、Authy、Google Authenticator 和iPhone 内置的 2FA 身份验证器,要么向您发送通知,要么在 Twitter 的情况下生成一个令牌,让您完成登录。在授予对你的 Twitter 帐户的访问权限之前,你必须输入你在身份验证应用程序中看到的六位数代码,而不仅仅是密码。
安全密钥的工作方式类似,需要额外的步骤才能访问帐户。这是一个基于硬件的选项,可以插入您的计算机或无线连接以确认您的身份。品牌包括 Yubikey、Thetis 等。
安全密钥通常被认为更安全,因为黑客必须物理获取设备才能进入。根据 Tobac 的说法,需要代码才能进入的 2FA 方法(例如通过短信或身份验证应用程序)是可钓鱼的。换句话说,黑客可以欺骗用户放弃该代码以进入该帐户。但是不能以相同的方式远程访问像安全密钥这样的硬件。
“当网络攻击者攻击你时,他们不会站在你身边。他们通过电话、电子邮件、短信或社交媒体 DM 攻击你,”Tobac 说。
尽管如此,将任何 2FA 置于付费专区之后会使用户更难以访问,尤其是当置于付费专区之后的版本与基于文本的身份验证一样广泛使用时。 Tobac 说,可能倾向于设置它的人较少,或者他们可能会忽略来自 Twitter 的弹出窗口来更新他们的帐户,以便他们可以返回推文。
没有 2FA,未经授权的行为者更容易进入您的帐户。更多受损帐户使 Twitter 成为一个安全性较低的平台,更容易受到攻击和假冒。
“当我们更容易接管账户时,神话和虚假信息就会增加,网站上的不良行为者也会增加,因为更容易获得拥有大量追随者的账户的访问权,你可以假装成他们发布任何你喜欢的推文”托巴克说。
Twitter 首席执行官埃隆马斯克暗示,基于 2FA 的付费墙短信将为公司节省资金。这一有争议的决定是在去年秋天 Twitter 的隐私和安全问题发生后做出的。在裁员期间,前首席信息安全官 Lea Kissner 和前诚信与安全负责人 Yoel Roth 等高级官员离开了公司。