BleepingComputer网站透露,从3月20日起,不再支持普通用户短信双因素认证(2FA),只有购买TwitterBlue服务的订阅者才能继续使用它。根据Twitter发布的一份安全报告,在2021年7月至2021年12月期间,只有2.6%的用户使用双因素身份验证,而在这些用户中,74.4%使用SMS2FA,28.9%使用身份验证器应用程序,0.5%使用硬件安全密钥。马斯克支持这一验证变化。短信验证带来的安全隐患由来已久。埃隆·马斯克(ElonMusk)指出,仅在假冒的2FA短信上,每年的损失约为6000万美元。马斯克非常支持禁止非TwitterBlue用户使用短信双因素身份验证,并指出身份验证器应用程序比短信安全得多。短信双因素认证可能遇到SIM卡交换攻击风险(SIMswapattack:指攻击者通过欺骗或贿赂运营商员工,将号码重新分配到攻击者控制的SIM卡上,以控制目标手机的威胁电话号码),这使得攻击者可以轻松地在他们的设备上使用受害者的电话号码、接收短信(SMS多因素身份验证(MFA)代码),甚至可以直接登录某些使用电话号码作为凭据的帐户。推特建议用户使用强认证方式来保护账号安全。值得一提的是,此次变更后,如果用户不打算注册TwitterBlue,将被要求使用安全密钥或身份验证应用程序作为2FA身份验证方式。目前,虽然许多用户不同意新改革的处理和推出方式,但必须承认,改革可能会为选择不订阅TwitterBlue的用户带来更好的安全性。据悉,要确保账户安全,最好的选择是使用硬件安全密钥,例如GoogleTitan或Yubiky,这些是带有USB或NFC连接的小型设备,可以自动响应2FA请求并登录账户.被认为是最安全的,因为这些是必须插入计算机才能登录用户帐户的物理设备。另一个相对较好的选择是使用双因素身份验证应用程序,例如GoogleAuthenticator、MicrosoftAuthenticator和Authy。当用户在网站上设置双因素/多因素身份验证时,网站将显示用户使用身份验证应用程序扫描的二维码,扫描后,网站将在应用程序中注册生成2FA码,必须提交到网站才能登录到用户的帐户。最后,强烈建议用户在常用的在线账户(包括推特)上启用2FA,并使用身份验证器或硬件安全密钥来确保账户安全。
