SMS雙重身分驗證「被濫用」 Twitter改付費用戶才可用
多市專家指普通用戶易受黑客攻擊
【明報專訊】社交平台Twitter官方宣布,基於SMS短訊方式的雙重身分驗證功能將於下月中改為Twitter Blue訂閱的功能,只有付費用戶才能使用。
Twitter表示,SMS雙重身分驗證「被濫用」,Twitter為此針對其普遍使用、啟用SMS的雙重身分驗證作出大的改變,若非付費訂閱Twitter Blue的用戶,將於今年3月20日之後不再具有此項驗證功能。
目前Twitter Blue訂閱月費,Android用戶為8美元,iOS用戶則為11美元。
Twitter又稱,已註冊的非Twitter Blue訂閱者將有30天的時間更改為其他驗證方法,如通過應用程式或使用安全金鑰。
多倫多網絡安全分析師科塔克(Ritesh Kotak)周日接受CTV新聞台訪問時表示,他認為有關舉措屬於更大力推動改變數碼帳戶保障方式的一部分,Twitter正取締SMS或文字方式驗證身分,此舉目的是推廣使用其他流動驗證方式,如應用程式或安全金鑰等更安全的雙重身分驗證方法。
科塔克指,Twitter決定取消SMS雙重身分驗證方法的另一個原因,涉及純經濟因素。他解釋稱,每次通過短訊發送代碼,Twitter都會收費,但Twitter及其大老闆馬斯克(Elon Musk)卻稱,Twitter過去因詐騙簡訊導致每年損失約6000萬美元。
至於有關改動會否令用戶更容易受到攻擊,科塔克指答案是肯定的,若用戶重複使用密碼或遭攻擊,那麼就會出現問題,因為雙重身分驗證提供保障,但在3月19日之後,黑客將更容易入侵個人和帳戶,但正確保障數碼帳戶安全不僅僅單靠使用雙重身分驗證,此舉可能使用戶面臨安全風險。
科塔克稱,科技界一直致力擺脫基於文字的短信驗證方法,原因是它存在漏洞,更換SIM卡屬其中之一,號碼可以轉發,這不是100%安全,業界正走向所稱的「無密碼世界」,而身分驗證應用程式和安全金鑰會更加安全。他說,最佳安全做法是不要重複重使用密碼,並建議啟用身分證驗應用程,如Google Authenticator或Microsoft Authenticator。
科塔克又說,數碼安全措施的未來轉變備受關注,但他指,這一趨勢剛開始,將不斷推陳出新。