Twitter 的双因素身份验证更改“毫无意义”

joypaulai24

Twitter 最近宣布，从 3 月 20 日开始，仅允许付费订阅 Twitter Blue 的用户通过短信使用双因素身份验证 (2FA) 来保护其帐户。这要求他们使用用户名和密码以及数字代码等附加“因素”登录。数字安全专家长期以来一直建议使用生成器应用程序来获取这些代码。但通过短信接收它们是一种流行的选择，因此对于那些不付费的人来说，取消这种选择至少可以说是一个令人不安的举动。 Twitter 使用双因素验证的决定是自埃隆·马斯克去年收购该公司以来一系列有争议的政策变化中的最新一项。 Twitter Blue 付费服务是目前在数字平台上为帐户获得蓝色复选标记的唯一方式，Android 和 iOS 版每月费用为 11 美元，桌面版费用略低。不再使用短信双因素身份验证的用户可以选择切换到身份验证应用程序或物理安全密钥。 Twitter Blue 验证蓝色爆米花价格 Twitter Blue 并没有取得埃隆·马斯克预期的成功 自 Twitter Blue 推出以来，只有 0.2% 的用户尝试过。 Twitter 的双因素身份验证作为高级功能 “虽然传统上是一种流行的双因素身份验证形式，但不幸的是，我们已经看到通过电话号码的机制被滥用，”Twitter 在最近发布的博客文章中写道。 “因此从今天开始，我们将不再允许帐户注册 2FA 的文本/短信方法，除非他们是 Twitter Blue 订阅者。”在 2022 年 7 月的账户安全报告中，Twitter 表示，只有 2.6% 的活跃用户启用了任何类型的双因素身份验证。其中，近 75% 使用短信版本。大约 29% 的人使用身份验证应用程序，不到 1% 的人添加了物理验证密钥。基于短信的双因素身份验证是不安全的，因为攻击者可以劫持目标的电话号码，或采用其他技术来拦截短信。但安全专家长期以来一直坚持认为，使用它比根本不启用二因素验证要好得多。越来越多的科技巨头，如苹果和谷歌，已经取消了双因素短信选项，使用户通常在数月或数年内转向其他形式的身份验证。研究人员担心，Twitter 的政策变化会让他们感到困惑，因为他们只给了很少的时间来完成过渡，并使这种双重保理看起来像是一项高级功能。

卡内基梅隆大学隐私和适用安全实验室主任 Lorrie Cranor 表示：“Twitter 博客正确地指出，短信双因素身份验证经常被不良行为者滥用。我同意它的安全性低于其他 2FA 方法。” 。 “但如果你的动机是安全，你难道不想保护支付账户吗？只允许那些订阅者使用不太 电话数据 安全的方法是没有意义的。”观看次数最多 芝加哥霜冻中电动汽车停运的原因 芝加哥霜冻中电动汽车停运的原因 作者：迭戈·巴贝拉 墨西哥护照：费用、预约以及如何办理 墨西哥护照：费用、预约以及如何办理 作者：安娜·拉各斯 墨西哥国立自治大学对 Jaime Maussan 的回应关于墨西哥国会上展示的纳斯卡木乃伊 UNAM 就墨西哥国会上展示的纳斯卡木乃伊向 Jaime Maussan 作出回应 作者：安娜·拉格斯 Jann Mardenborough，电影《GT赛车》的灵感来源 Jann Mardenborough，电影《Gran Turismo》的灵感来源作者：Jann Mardenborough BY FERNANDA冈萨雷斯虽然该公司宣布其更改将于 3 月中旬实施，但通过短信激活两个因素的 Twitter 用户在周五开始遇到一个弹出屏幕，建议他们通过完整的两个因素删除，或切换到“身份验证”应用程序或安全密钥方法。”目前尚不清楚如果用户在新的截止日期之前不通过短信禁用双因素，将会发生什么。应用内消息暗示，在 3 月 20 日正式发生变更时，仍然激活该功能的用户的帐户将被锁定。通知警告说：“为了避免失去对 Twitter 的访问权限，请在 之前通过短信删除双因素身份验证。”但博客文章指出，如果用户在那一天之前没有配置它，它就会被禁用。该公司写道：“2023 年 3 月 20 日之后，我们将不再允许非 Twitter Blue 订阅者使用短信作为 2FA 方法。” “届时，启用文本 2FA 的帐户将被禁用。” Twitter 没有回应我们对 3 月 20 日这些帐户将发生什么情况发表评论的请求。该公司也没有回答有关政策变化是否可能导致平台上双因素采用率大幅下降的问题。 Meta Verified 社交网络、Facebook 的新支付功能以及免费社交网络的终结 Meta Verified 加入 Twitter Blue 向我们表明，免费社交网络的终结已经到来。提高 Twitter 用户安全性的措施？ “乍一看，这似乎是对用户安全的某种程度的担忧，但如果你为 Twitter Blue 付费，因此是一个认真对待你在社交网络上的活动的客户，并且它的服务对象“应该更感兴趣， “你可以继续使用不太安全的身份验证方法。



什么？”独立身份安全和隐私顾问 Jim Fenton 说道。 “如果你不是 Twitter Blue 的订阅者，而他们将你降级为仅使用密码进行身份验证，那么他们就取消了一些本应提高用户安全性的内容，并做了完全相反的事情。”周五晚上，“T(w)itter Takeover News”帐户传播了该公司有关诈骗者通过电话号码滥用 2FA 的评论。他在推特上表示，“Twitter 改变了他们的政策……关于基于短信的 2FA，因为电信公司使用机器人帐户来轰炸 2FA 短信。他们每年因欺诈短信而损失 6000 万美元。”不久之后，埃隆·马斯克的推特账户回应：“是的。”马斯克长期以来一直声称要与 Twitter 机器人交战，但在区分合法机器人和恶意机器人方面遇到了困难。与此同时，在马斯克上任的第一天，公司内部一片混乱，双因素短信机制在 11 月中旬出现了中断和故障。观看次数最多 芝加哥霜冻中电动汽车停运的原因 芝加哥霜冻中电动汽车停运的原因 作者：迭戈·巴贝拉 墨西哥护照：费用、预约以及如何办理 墨西哥护照：费用、预约以及如何办理 作者：安娜·拉各斯 墨西哥国立自治大学对 Jaime Maussan 的回应关于墨西哥国会上展示的纳斯卡木乃伊 UNAM 就墨西哥国会上展示的纳斯卡木乃伊向 Jaime Maussan 作出回应 作者：安娜·拉格斯 Jann Mardenborough，电影《GT赛车》的灵感来源 Jann Mardenborough，电影《Gran Turismo》的灵感来源作者：Jann Mardenborough BY FERNANDA冈萨雷斯消除短信的双重因素“可以非常逐步地降低 Twitter 的成本，因为无需向任何电信提供商支付一分钱来发送这些短信”，芬顿说。但他补充说，节省的成本可能微乎其微。芬顿还指出，如果 Twitter 同时宣布兼容被称为“密码”的新身份验证机制，这一措施将更加合乎逻辑，大型科技公司越来越多地采用这种机制来减少用户对密码的依赖。 “Twitter 基本上是说它取代了一种新的身份验证方法，而且不需要购买硬件安全密钥，”芬顿说。 “但 Twitter Blue 豁免仍然毫无意义。”随着事态的发展，最大的问题是这一切是否会转化为 Twitter 用户帐户的更高安全性。卡内基梅隆大学的 Cranor 表示：“我认为我们并不真正知道这是否会鼓励人们购买身份验证应用程序，或者许多人是否会放弃 2FA。” “一般来说，用户不会接受双因素身份验证，除非被迫使用它。许多其他公司将拭目以待，看看否认这一点是否是个好主意。” Twitter 是否会对这些变化的影响保持透明并发布更新的统计数据是另一个问题。文章最初发表于《连线》/《连线英国》。由安德烈·奥索尔尼奥改编。