中国Twitter讯:Twitter 上周悄悄宣布了一项计划,它将取消所有未付费账户的双因素身份验证,它表示,这是为了减少威胁行为者滥用基于电话的 2FA。
“迄今为止,我们已经提供了三种 2FA 方法……不幸的是,我们已经看到基于电话号码的 2FA 被不良行为者使用和滥用,”官员在公告中说。“从今天开始,我们将不再允许帐户注册 2FA 的短信/SMS 方法,除非他们是 Twitter Blue 订阅者。”
Twitter 为已经注册了基于电话的 2FA 方法的非订阅者提供了 30 天的时间来禁用它并注册另一种身份验证方法。3 月 20 日之后,将不允许所有非付费用户使用短信作为 2FA 方法。
更重要的是,Twitter 打算禁用所有当时仍启用短信 2FA 的帐户。官员们鼓励非订阅者改用身份验证应用程序或其他安全密钥。
不出所料,此举引发了大量笑话和彻底的愤怒,同时暗示此举是为了强迫用户为曾经非常重要的蓝色检查功能付费。然而,绝大多数用户并没有动摇,而是详细说明了这一举措将如何为黑客提供便利。
“Elon Musk 非常勇敢地等待周五晚上宣布他正在为任何每月不支付 8 美元的人取消最基本的安全措施,”作家和前纽约时报数字间谍和破坏记者 Nicole Perlroth说,在推特上。“是时候将 FTC 保障规则扩展到社交媒体平台了。真是笑话。”
在超过两打的声明中,用户都将这种转变视为一种贿赂形式:“付钱给我们,否则你会被钓鱼”、“接下来你每年只能更改一次密码,除非你有 Twitter Blue”和“为什么是他让最不安全的 2fa 方法付钱了?” 推文分别来自 Peter Yared、Thomas Maxwell 和 Ketan Joshi。
总而言之,“旧:每个人都支付 8 美元来获得令人敬畏的新功能、花哨的功能以及有史以来最好的 Twitter 体验!新:支付 11 美元,否则你的账户就会被黑,混蛋,”独立记者 Aaron Rupar 写道。
事实上,就在上个月,美国医院协会网络安全和风险高级顾问 John Riggi 指责实体在当前形势下没有利用多因素身份验证。
“很难在民事和监管方面为针对你的行为辩护,因为这是目前非常非常基本的技术,”Riggi 在 1 月份的加州大学旧金山分校斯坦福监管科学与创新卓越中心讨论中指出。“白宫恳求我们实施基本的网络安全程序,仅此一项就可以以非常低的成本阻止大部分勒索软件攻击。
Socura 首席执行官 Andy Kays 在给 SC Media 的一份声明中警告说,此举将是“欺诈者的圣诞节来得早”。尽管 SMS 2FA 存在缺陷,但鉴于其在用户中的广泛流行,它仍然是“具有巨大价值的安全功能。由于个人通常是黑客攻击成功的主要推动力,因此使用任何安全功能都应被视为一种积极措施。
显然,有总比没有好,特别是对于“不太懂技术的社交媒体用户”来说,他们可能会受到这种转变的最大伤害。Kays 补充说,“大多数人将从使用 SMS 2FA 转向不使用任何形式的 2FA。因此,它们的安全性将大大降低,并成为欺诈者、网络犯罪分子和身份窃贼的主要目标。”
虽然希望用户可能会转向更通用的身份验证应用程序,但 Kays 强调,“应该鼓励用户在一段时间内根据自己的自由意愿进行切换,而不是被迫这样做。”
看看仍在使用该平台的网络安全领导者的回应,可以清楚地了解这种转变是如何发生的——这与 Kays 的观点一致。
正如一位知名独立记者布赖恩泰勒科恩所说:“我认为让用户不使用 Twitter 的一个好方法是显着降低它的安全性。”
由于 Twitter 已经面临多项监管调查,目前尚不清楚这项新计划将如何为其陷入困境的首席执行官埃隆马斯克 (Elon Musk)奏效。显而易见的是,Twitter 用户将再次被迫适应,否则安全性将明显下降。
如果自己无法正常注册Twitter账号,可以点击购买一个现成的Twitter账号