• 發布單位:TWCERT/CC
• 更新日期:2023-02-21
• 點閱次數:313

大型社群平台 Twitter 日前宣布將逐步取消對未付費用戶以簡訊發送二階段登入驗證碼，僅有付費用戶可以透過 Twitter 直接收到簡訊驗證碼；為此資安專家提供多種更為安全的替代方案，以讓廣大的未付費 Twitter 用戶擁有更高的安全性。

Twitter 於日前在官方部落格發表的公告中指出，該平台將在 2023 年 3 月 20 日起，全面取消未持有 Twitter Blue 認證標誌用戶以簡訊收取二階段登入驗證碼的服務；未來只有付費取得 Twitter Blue 認證標誌的用戶，才可透過簡訊收取二階段登入驗證碼。

Twitter 執行長 Elon Musk 在自己的推文中指出，Twitter 每年因為假帳號產生的簡訊驗證碼費用高達 6,000 萬美元。

為維持用戶登入安全，Twitter 另外提供兩種替代方案，分別是採用軟體產生隨機二階段登入驗證碼，以及使用硬體安全金鑰。

資安專家指出，雖然很多人可能會批評 Twitter 取消簡訊驗證碼發送的措施，但從資安角度來看，這反而提高了用戶的帳號安全性。主因在駭侵者可透過多種方式，輕易攔截用戶接收的簡訊驗證碼，例如 SIM-Swap 攻擊，或透過用戶裝置中的惡意軟體來獲取驗證碼。

專家建議用戶可採用具備雲端備份功能的 Authy 或 Microsoft Authenticator 來產生 Twitter 專用的二階段登入碼，這樣即使手機遺失，也不會失去帳號的存取權限。

根據 Twitter 發表的帳號安全報告指出，在 2021 年 7 月到 12 月間，僅有 2.6% 的 Twitter 用戶啟用二階段登入驗證，比例極低；而在這批用戶中，有 74.4% 使用簡訊接收登入驗證碼，28.9% 使用驗證碼產生軟體，0.5% 採用硬體安全金鑰。

簡訊驗證碼的安全性較低，建議用戶可趁此機會改用 Authy 或 Microsoft Authenticator 等具雲端備份功能的二階段驗證碼產生工具，以提高帳號的資安防護能力。