鉴于最近影响Twitter和世界各地媒体组织的重大违规行为,Twitter实施了双重身份验证以增强帐户安全性。为了应对这些攻击,Twitter周三宣布将推出一种两因素身份验证形式,以为用户提供额外的安全性。Twitter产品安全团队的Jim O'Leary解释说,新的“登录验证”功能将用作第二次检查,以确保用户就是他们所说的真实身份。作为该功能的一部分,将要求用户在Twitter上注册经过验证的电话号码和电子邮件地址。
他写道:“每天都有越来越多的人登录Twitter。” “通常,这些登录尝试来自真正的帐户所有者,但是我们偶尔会听到人们的帐户被电子邮件网络钓鱼计划或网络上其他地方的密码数据泄露所破坏的人。”
他解释说:“注册登录验证后,每次您登录twitter.com时,系统都会要求您输入一个六位数的代码,该代码将通过SMS [短消息服务]发送到您的手机。
这一变化是继一系列针对金融机构和英国广播公司等新闻组织的Twitter提要遭到攻击之后进行的。4月,美联社的一个Twitter帐户遭到破坏,并被用来发出虚假推文,声称白宫发生了两次爆炸,巴拉克·奥巴马总统受伤。虚假报告被认为造成了金融市场的短暂波动。
2月,发现违规行为并发现黑客试图访问用户数据后,Twitter被迫重置25万用户的密码。尽管能够关闭实时攻击,但该公司认为攻击者可能对用户信息(例如用户名,电子邮件地址和加密/盐密码)的访问权限受到限制。
O'Leary解释说,通过两因素身份验证,用户将获得更高程度的保护,以防止攻击者试图破坏自己的帐户。用户可以通过“帐户设置”页面启用该功能。
他写道:“启用登录验证后,您现有的应用程序将继续运行而不会受到干扰。” “如果需要在其他设备或应用程序上登录Twitter帐户,请访问您的应用程序页面以生成临时密码来登录并授权该应用程序。”
他补充说:“当然,即使启用了此新的安全性选项,对于您而言,使用强密码并遵循我们的其他建议以保持帐户安全仍然很重要。”
渗透测试公司Core Security的安全情报开发经理Ken Pickering称Twitter的举动是重大的一步-即使此举已逾期。
他说:“成功的攻击者现在需要访问您的密码和手机,而不是基本的密码破解软件,但困难的部分是说服人们使用它。”
他补充说:“谷歌和Facebook已经使用双重身份验证已经有一段时间了,我还没有看到广泛的采用。” “如果您完全关心这些社交网络的安全性,则应该使用两因素身份验证。只要每个人都这样做,我们将处在一个更好的位置。