按 Enter 到主內容區
:::

TWCERT-電子報

:::

Twitter 取消免費用戶簡訊二階段登入驗證,資安專家提供建議替代措施

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-02-21
  • 點閱次數:273
Twitter 取消免費用戶簡訊二階段登入驗證,資安專家提供建議替代措施 twcertcc

大型社群平台 Twitter 日前宣布將逐步取消對未付費用戶以簡訊發送二階段登入驗證碼,僅有付費用戶可以透過 Twitter 直接收到簡訊驗證碼;為此資安專家提供多種更為安全的替代方案,以讓廣大的未付費 Twitter 用戶擁有更高的安全性。

Twitter 於日前在官方部落格發表的公告中指出,該平台將在 2023 年 3 月 20 日起,全面取消未持有 Twitter Blue 認證標誌用戶以簡訊收取二階段登入驗證碼的服務;未來只有付費取得 Twitter Blue 認證標誌的用戶,才可透過簡訊收取二階段登入驗證碼。

Twitter 執行長 Elon Musk 在自己的推文中指出,Twitter 每年因為假帳號產生的簡訊驗證碼費用高達 6,000 萬美元。

為維持用戶登入安全,Twitter 另外提供兩種替代方案,分別是採用軟體產生隨機二階段登入驗證碼,以及使用硬體安全金鑰。

資安專家指出,雖然很多人可能會批評 Twitter 取消簡訊驗證碼發送的措施,但從資安角度來看,這反而提高了用戶的帳號安全性。主因在駭侵者可透過多種方式,輕易攔截用戶接收的簡訊驗證碼,例如 SIM-Swap 攻擊,或透過用戶裝置中的惡意軟體來獲取驗證碼。

專家建議用戶可採用具備雲端備份功能的 Authy 或 Microsoft Authenticator 來產生 Twitter 專用的二階段登入碼,這樣即使手機遺失,也不會失去帳號的存取權限。

根據 Twitter 發表的帳號安全報告指出,在 2021 年 7 月到 12 月間,僅有 2.6% 的 Twitter 用戶啟用二階段登入驗證,比例極低;而在這批用戶中,有 74.4% 使用簡訊接收登入驗證碼,28.9% 使用驗證碼產生軟體,0.5% 採用硬體安全金鑰。

簡訊驗證碼的安全性較低,建議用戶可趁此機會改用 Authy 或 Microsoft Authenticator 等具雲端備份功能的二階段驗證碼產生工具,以提高帳號的資安防護能力。

回頁首