圖片來源: 

Twitter

由於簡訊或電話號碼造成的資安事件日益氾濫,推特(Twitter)周四宣佈要簡化雙因素驗證(Two-Factor Authentication, 2FA)的設定,不再需要電話號碼即可啟用2FA。

2FA常被用來確保帳號安全,也是啟用推特帳號的必要條件。雖然用戶之後可以改以軟體如Google Authenticator,或以硬體金鑰方案Yubikey等來登入,但是最初申請啟用推持的2FA仍然必須註冊電話號碼。在周四的宣佈中,推特表示已升級推特的登入流程,支援WebAuthn標準使用2FA,未來只要單一點擊即可驗證啟用。

以簡訊傳送驗證密碼的方式近年被證實可能因為發生中間人(man-in-the-middle)攻擊,駭客劫持簡訊進而竄改用戶如電子信箱或網銀帳密。

此外,還有愈來愈多SIM卡交換(SIM Swapping)詐騙案件,SIM卡交換詐騙是一種歹徒利用網路上蒐集到的姓名、電子郵件等資料,再向電信業者謊稱手機遺失或換手機,騙取電信業者將電話號碼轉到新的SIM卡上,藉由劫持此一號碼登入受害者社交網站、電子郵件或網銀帳號。知名加密貨幣投資人Michael Terpin 2018年遭駭,駭客經由SIM卡交換詐騙盜用了Terpin的手機號碼,並將他錢包內價值2,400萬美元的加密貨幣提領一空,讓Terpin憤而控告交出電話號碼的AT&T。

不過推特這項宣佈的導火線可能是自家執行長受害。推特執行長Jack Dorsey 8月底帳號遭駭客入侵,後者利用Dorsey的帳號發表涉及種族主義的言論。推特即表示起因是Dorsey的SIM卡被劫持,該公司也於9月初關閉了透過簡訊貼文的功能。 


Advertisement

更多 iThome相關內容