安全风险高! 推特将取消以电话激活双重验证

由于短信或电话号码造成的安全事件日益泛滥,推特(Twitter)周四宣布要简化双重验证(Two-Factor Authentication, 2FA)的设置,不再需要电话号码即可激活2FA。

2FA常被用来确保账号安全,也是激活推特账号的必要条件。虽然用户之后可以改以软件如Google Authenticator,或以硬件密钥方案Yubikey等来登录,但是最初申请激活推持的2FA仍然必须注册电话号码。在周四的宣布中,推特表示已升级推特的登录流程,支持WebAuthn标准使用2FA,未来只要单一点击即可验证激活。

以短信发送验证密码的方式近年被证实可能因为发生中间人(man-in-the-middle)攻击,黑客劫持短信进而篡改用户如电子邮箱或网银帐密。

此外,还有越来越多SIM卡交换(SIM Swapping)诈骗案件,SIM卡交换诈骗是一种歹徒利用网络上搜集到的姓名、电子邮件等数据,再向电信企业谎称手机遗失或换手机,骗取电信企业将电话号码转到新的SIM卡上,借由劫持该号码登录受害者社交网站、电子邮件或网银账号。知名加密货币投资人Michael Terpin 2018年遭黑,黑客经由SIM卡交换诈骗盗用了Terpin的手机号码,并将他钱包内价值2,400万美元的加密货币提领一空,让Terpin愤而控告交出电话号码的AT&T。

不过推特这项宣布的导火线可能是自家首席执行官受害。推特首席执行官Jack Dorsey 8月底账号遭黑客入侵,后者利用Dorsey的账号发布涉及种族主义的言论。推特即表示起因是Dorsey的SIM卡被劫持,该公司也于9月初关闭了通过短信贴文的功能。