- 推到:
推特將取消以電話啟用雙因素驗證
- 發布日期:109-03-13
- 發布單位:刑事警察大隊
由於簡訊或電話號碼造成的資安事件日益氾濫,推特(Twitter)本(2019)年11月21日宣布將簡化雙因素驗證(Two-Factor Authentication, 2FA)設定,不再需要電話號碼即可啟用2FA。2FA常被用來確保帳號安全,也是啟用推特帳號的必要條件。雖然用戶之後可改以軟體如Google Authenticator或硬體金鑰方案Yubikey等進行登入,但最初申請啟用推持的2FA仍必須註冊電話號碼。推特表示已升級登入流程,支援Web Authentication (WebAuthn)標準來執行2FA,未來只要單一點擊即可驗證啟用,不用再以簡訊傳遞驗證碼。
以簡訊傳送驗證密碼方式,近年被證實可能發生中間人(Man-in-the-Middle)攻擊,駭客可劫持簡訊進而竄改用戶電子郵件或網銀帳號密碼。此外,還有越來越多SIM卡交換(SIM Swapping)詐騙案件,SIM卡交換詐騙是歹徒利用網路上蒐集到的姓名、電子郵件等資料,再向電信業者謊稱手機遺失或換新手機,騙取電信業者將電話號碼轉到新的SIM卡上,藉由劫持號碼登入受害者社群網站、電子郵件或網銀帳號。知名加密貨幣投資人Michael Terpin 於2018年遭駭,駭客就是以SIM卡交換詐騙手法盜用Terpin的手機號碼,並將他電子錢包內價值2,400萬美元加密貨幣提領一空,讓Terpin憤而控告交出電話號碼的AT&T。不過推特這項宣佈的導火線可能是自家執行長受害,推特執行長Jack Dorsey本年8月底帳號遭駭客入侵,利用其帳號發表涉及種族主義的言論。推特表示起因是Dorsey的SIM卡被劫持,該公司也於本年9月初關閉透過簡訊貼文功能。
資料來源:
https://www.theverge.com/2019/11/22/20977436/twitter-2fa-phone-number-authentication-app-security-key
https://www.ithome.com.tw/news/134350
技術服務中心整理
參考網站:
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16327
|