Twitter 最近啟動了一項重大轉變,這將影響大多數人保護其帳戶的方式。 該公司告訴非付費用戶,他們很快將不得不停止使用一種流行的安全功能:通過短信進行雙因素身份驗證。
讓我解釋一下為什麼這並不像您擔心的那麼糟糕。
簡而言之,雙因素身份驗證需要兩個安全步驟來驗證您的真實身份。 第一步要求輸入用戶名和密碼,第二步要求您輸入發送給您的臨時代碼或連接到物理安全密鑰。 這樣,即使有人知道您的密碼,該人也需要完成第二步才能登錄您的帳戶。
推特宣布這一變化最初讓許多人感到困惑和震驚。 但需要明確的是,推特正在推動用戶採取更強有力的保護措施——它為我們所有人創造了一個機會,讓我們咬緊牙關,提高我們在線賬戶的安全性。
推特 在博客文章中說 未訂閱其 Twitter Blue 服務的用戶在 3 月 20 日之後將無法再使用短信作為身份驗證形式。非付費用戶可以切換到具有更強安全形式的不同驗證技術。 替代方案依賴於使用第三方應用程序生成臨時代碼或插入授權的安全密鑰以訪問您的帳戶。
“使用 2FA 的免費身份驗證應用程序將保持免費,並且比 SMS 安全得多,”Twitter 的所有者 Elon Musk, 推文.
安全公司 Bugcrowd 的首席技術官凱西埃利斯 (Casey Ellis) 表示,Twitter 關於基於 SMS 的身份驗證的缺陷的觀點是有道理的。 “這確實有一定的道理,但只是沒有以乾淨的方式執行,”埃利斯先生說。
但他補充說,Twitter 的做法也有缺點。 使用短信進行身份驗證是大多數人使用的最簡單的安全工具。 其他技術需要額外的步驟來設置。
(同樣令人困惑的是:付費 Twitter 用戶仍然可以依靠通過短信發送給他們的代碼進行登錄——如果這種身份驗證形式不太安全,這是一個奇怪的選擇。Twitter 沒有立即回應置評請求。)
切換到其他安全方法並不直觀,因此存在許多非付費 Twitter 用戶可能求助於完全跳過雙因素身份驗證的風險。
然而,在這一切之中,有一個寶貴的機會來了解更強大的雙因素身份驗證方法——以及為什麼我們應該盡可能考慮使用其中一種方法,而不是為我們所有的在線帳戶提供基於 SMS 的安全性。 以下是您需要了解的每種方法及其優缺點。
短信認證
多年來,Twitter 和其他網站一直鼓勵用戶通過短信設置雙因素身份驗證。 該方法向用戶的手機發送時間敏感的安全代碼。 這是使用最廣泛的雙因素身份驗證形式,因為幾乎每個人都有手機,所以即使是最不了解技術的人也能理解它。
但隨著時間的推移,安全研究人員發現 SMS 身份驗證問題越來越多。 劫持您電話號碼的人可能會截獲包含安全代碼的短信——這種騙局稱為 SIM 交換。 黑客就是這樣在 2019 年侵入了該公司前首席執行官傑克·多爾西 (Jack Dorsey) 的推特賬戶的。
還有更多的問題。 短信未加密,因此在中國和俄羅斯等受到嚴格監控的國家/地區的外國網絡上接收短信可能存在安全風險。 此外,如果您在美國境外旅行,通過外國運營商接收短信可能會很昂貴。
安全研究人員不斷發現基於短信的身份驗證中的新缺陷,因此我們可以預期會有更多網站和應用程序阻止用戶通過短信接收驗證碼,埃利斯先生說。
驗證器應用程序
這將我們帶到了身份驗證器應用程序,您可以將其下載到手機或計算機上。 它們生成臨時安全代碼(而不是將它們發送到您的手機),您輸入這些代碼以登錄您的在線帳戶和應用程序。
讓我們以 Twitter 和應用程序 Google Authenticator 為例。
-
首先,將 Google Authenticator 應用程序下載到您的手機上。 然後,在計算機上的 Twitter.com 上,單擊 更多的→安全和帳戶訪問→雙因素身份驗證→身份驗證應用程序.
-
從這裡開始,按照 Twitter 上的步驟操作。 系統會要求您使用 Authenticator 應用程序通過手機攝像頭掃描二維碼,這會將應用程序與您的 Twitter 帳戶相關聯並開始生成安全代碼。
當您登錄 Twitter 時,您將輸入您的用戶名和密碼,然後打開 Authenticator 應用程序以查找臨時代碼。
使用身份驗證器的一大缺點是,如果您丟失了手機或換了一部新手機,重新獲得對您帳戶的訪問權可能會很痛苦。 通常,像 Twitter 這樣的網站或應用程序會讓您使用備份代碼重新獲得對您帳戶的訪問權限。 在 Twitter 的雙因素身份驗證設置中,一個標有“備份代碼”的菜單將生成一個代碼,讓您重新登錄。確保記下此代碼並將其存放在安全的地方。
這種技術需要一些時間和精神帶寬來正確設置和習慣,但總體上更好。 有人劫持您的設備以查看您的安全代碼比攔截短信要困難得多。
安全密鑰
第三種方法——使用 U 盤形式的物理安全密鑰,將其插入計算機或手機進行登錄——是所有方法中最安全的方法。 我們不太可能看到這種技術得到廣泛採用,因為密鑰需要花錢,而且如果您丟失了密鑰,就很難重新獲得對您帳戶的訪問權限。
讓我們以 Twitter 和 Google 的 Titan 安全密鑰為例。
-
首先,您必須購買安全密鑰。 谷歌出售其 泰坦安全密鑰 30 美元; 它包括一對用於不同類型的計算機和電話的鍵。
-
然後,在計算機上的 Twitter.com 上,單擊 更多的→安全和帳戶訪問→雙因素身份驗證→安全密鑰.
-
從這裡開始,按照 Twitter 的說明進行操作,該說明將引導您將密鑰插入 USB 端口並按下按鈕以驗證密鑰。 然後 Twitter 將顯示一個帶有備份代碼的屏幕,以防您丟失密鑰。 將其存放在安全的地方。
有點麻煩,不是嗎? 不過,它可能對在高度敏感領域工作的人有用,例如政府機構和激進主義。
底線
綜上所述,認證器APP是比較方便且使用起來非常安全的雙因素方法。 我建議大多數人選擇一個應用程序,例如 Google Authenticator、Authy 或 Microsoft Authenticator,並堅持使用。 它們的工作原理相同。
使用您的所有在線帳戶設置身份驗證器應用程序可能需要一些時間,但您只需執行一次。 從長遠來看,它可能會節省您的時間,因為使用這種方法登錄網站比等待短信到達更快。
