Twitter 已宣布它将不再支持 SMS 双因素身份验证,除非您支付 Twitter Blue 订阅费用。 但是,对于多因素身份验证,还有更安全的选项,我们将在下面进行描述。
在本周发布的一篇博文中,Twitter 表示,使用短信 2FA 身份验证的非 Twitter Blue 用户必须在 2023 年 3 月 20 日之前切换到另一种 2FA 方法,否则它将被禁用。
“已经注册的非 Twitter Blue 订阅者将有 30 天的时间禁用此方法并注册另一种方法,”Twitter 在一篇新的博客文章中警告说。
“2023 年 3 月 20 日之后,我们将不再允许非 Twitter Blue 订阅者使用短信作为 2FA 方法。届时,仍然启用短信 2FA 的帐户将被禁用。”
根据包含 2021 年 7 月至 2021 年 12 月数据的 Twitter 帐户安全报告,只有 2.6% 的用户使用双因素身份验证。 在这些用户中,74.4% 使用 SMS 2FA,28.9% 使用身份验证器应用程序,0.5% 使用硬件安全密钥。
Elon Musk 表示,他们正在做出这一改变,因为他们每年因伪造的 2FA SMS 消息损失 6000 万美元。
马斯克后来支持这一政策变化,称身份验证应用“比短信安全得多”,可能指的是移动设备上 SIM 交换攻击的风险。
SIM 交换攻击是指威胁行为者通过欺骗或贿赂运营商的员工将号码重新分配给攻击者控制的 SIM 卡来控制目标的手机号码。
这使威胁行为者能够在自己的设备上使用电话号码,接收受害者的 SMS 文本,包括 SMS 多因素身份验证 (MFA) 代码,或登录使用电话号码作为凭据一部分的帐户。
如果您不打算注册 Twitter Blue,您现在需要使用安全密钥或身份验证应用程序作为您的 2FA 身份验证方法。
虽然许多人不同意这项新政策的处理和推出方式,但它最终可能会为选择不订阅 Twitter Blue 的用户带来更好的安全性。
这是因为您将被迫使用更安全的选项来保护您的帐户。
最安全的选择是使用硬件安全密钥,例如 Google Titan 或 Yubikey,它们是具有 USB 或 NFC 连接的小型设备,可以自动响应 2FA 请求并让您登录帐户。
它们被认为是最安全的,因为它们是物理设备,必须插入计算机并由您拥有才能登录您的帐户。
因此,如果任何人获得了您的凭据,即使他们以某种方式窃取了您的 2FA 令牌,无论是通过高级中间人网络钓鱼攻击还是 SIM 卡交换攻击,他们都无法绕过 2FA。
另一种选择是使用双因素身份验证应用,例如 Google Authenticator、Microsoft Authenticator 和 Authy。
在网站上设置双因素/多因素身份验证时,该网站将显示您使用身份验证应用程序扫描的二维码。 扫描后,该网站将在应用程序中注册以生成 2FA 代码,必须将这些代码提交到网站才能登录您的帐户。
如果威胁行为者获得了您的凭证的访问权限,他们将无法访问您的移动应用程序生成的代码,因此将无法登录。
身份验证器应用的问题在于,如果您丢失了手机,您也会失去对 2FA 代码的访问权限,这使得重新获得对网站的访问权限变得困难且耗时。
但是,Microsoft Authenticator 和 Authy 包含将 2FA 设置备份到云端的功能,这样您就可以在丢失或擦除设备时恢复 2FA 设置。
因此,这两个应用程序都是您身份验证应用程序的绝佳选择。
不过,如果使用 Authy,请确保在不将代码传输到另一台设备时禁用“允许多设备”设置,因为如果您的电话号码被盗,它可能会被用来访问您的 Authy 帐户。
无论您使用何种身份验证方法,Twitter 的安全报告都显示有太多人没有使用 2FA 来保护他们的帐户,尽管它可以提高您帐户的安全性。
强烈建议在您使用的所有在线帐户(包括 Twitter)上启用 2FA,并使用身份验证器或硬件安全密钥,因为这样最终会更加安全。
如若转载,请注明出处:https://www.ozabc.com/it/534851.html