推特將取消以電話啟用雙因素驗證

• 發布日期：109-03-13
• 發布單位：刑事警察大隊

由於簡訊或電話號碼造成的資安事件日益氾濫，推特(Twitter)本(2019)年11月21日宣布將簡化雙因素驗證(Two-Factor Authentication, 2FA)設定，不再需要電話號碼即可啟用2FA。2FA常被用來確保帳號安全，也是啟用推特帳號的必要條件。雖然用戶之後可改以軟體如Google Authenticator或硬體金鑰方案Yubikey等進行登入，但最初申請啟用推持的2FA仍必須註冊電話號碼。推特表示已升級登入流程，支援Web Authentication (WebAuthn)標準來執行2FA，未來只要單一點擊即可驗證啟用，不用再以簡訊傳遞驗證碼。
以簡訊傳送驗證密碼方式，近年被證實可能發生中間人(Man-in-the-Middle)攻擊，駭客可劫持簡訊進而竄改用戶電子郵件或網銀帳號密碼。此外，還有越來越多SIM卡交換(SIM Swapping)詐騙案件，SIM卡交換詐騙是歹徒利用網路上蒐集到的姓名、電子郵件等資料，再向電信業者謊稱手機遺失或換新手機，騙取電信業者將電話號碼轉到新的SIM卡上，藉由劫持號碼登入受害者社群網站、電子郵件或網銀帳號。知名加密貨幣投資人Michael Terpin 於2018年遭駭，駭客就是以SIM卡交換詐騙手法盜用Terpin的手機號碼，並將他電子錢包內價值2,400萬美元加密貨幣提領一空，讓Terpin憤而控告交出電話號碼的AT&T。不過推特這項宣佈的導火線可能是自家執行長受害，推特執行長Jack Dorsey本年8月底帳號遭駭客入侵，利用其帳號發表涉及種族主義的言論。推特表示起因是Dorsey的SIM卡被劫持，該公司也於本年9月初關閉透過簡訊貼文功能。

資料來源：
https://www.theverge.com/2019/11/22/20977436/twitter-2fa-phone-number-authentication-app-security-key
https://www.ithome.com.tw/news/134350
技術服務中心整理
參考網站：
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16327