Twitter 推出 SMS 二步验证禁令引发的争议

关键要点

• Twitter 将在两周后禁止非订阅用户使用 SMS 短信进行二步验证（2FA），这一举措受到安全界的强烈反对。
• Twitter CEO 埃隆·马斯克认为此举是为了保护用户安全，但大多数专家并不赞同。
• 尽管 SMS 短信验证方便，但其安全漏洞也不少，容易被攻击者利用。
• 专家指出，Twitter 应该提供替代方案，而不是单方面取消 SMS 认证。

近两周后，Twitter 将对非订阅用户实施禁止使用 SMS短信进行二步验证（2FA）的政策，这一决定遭到安全界的广泛抵制。安全专家们认为，这一禁令会让用户的安全性降低，并且缺乏简单易行的替代方案。

FIDO 联盟执行董事安德鲁·希基亚尔（AndrewShikiar）表示：“从实用的角度来看，这一政策实际上剥夺了最低层次的二步验证，但没有任何可行或简便的替代方案。”尽管 SMS验证相对易于使用，无需用户设置身份验证器，也能在一定程度上增强密码保护，但其缺点也显而易见，比如可能被攻击、代码以明文形式发送等。

Twitter 决定取消 SMS验证的消息在其平台上引发大量嘲讽，许多人称这将成为黑客的“节日”。希基亚尔强调，这不仅让用户的安全性变低，且这种禁令是没有必要的。他指出，虽然可能有某种“商业模式”掩盖在创新的外衣下，但并未真正降低成本。

风险因素 | 描述
—|—
攻击面增加 | 短信验证码容易被拦截和伪造
安全性不足 | 无法有效防止账户被盗
用户教育缺乏 | 未能为用户提供有效的替代方案与替代工具

尽管这一决定在不少方面引起了争议，希基亚尔也指出，Twitter正试图将用户从 SMS 一次性密码转移开，这是值得肯定的一点。但他也强调，许多用户在 SMS验证禁令生效后，将缺乏安全密钥或下载个人 OTP 的意识，从而限制了 2FA 的使用。

Twitter 应该采取什么更好的方式来替代 2FA？

Twitter 及其他考虑类似安全变化的公司，应该明确说明变更的原因及可能的更安全选项，以帮助用户保护账户。例如，可以在禁用 SMS验证时，推广使用能支持移动用户的密钥（passkeys）。希基亚尔表示，Twitter 本可以告知用户将取消
OTP，同时时候教育用户如何使用更安全的密钥，这样的方案会更合理。

如果没有提供替代方案，Twitter的举动便是“错失良机”。希基亚尔称，密钥并不昂贵，并且“良好的密钥是用户认证中无法被钓鱼的主要因素”，使用这些密钥会使用户体验更为简单。

通过使用密钥，Twitter 可以节省资金并确保用户安全，虽然“这不是完美的，但它是有效的”。希基亚尔认为，Twitter还可以利用这一转变来教育用户如何使用密钥，这将是一个更好的方法。

借助密钥，企业现在拥有一种适合消费者的认证方法，“这是一种全新的范式”。他还强调，我们需要重新考虑对认证的看法，尤其是在第一因素认证本质上存在缺陷的背景下。

苹果的软件工程师里基·蒙德洛（Ricky Mondello）补充说，还可以通过电子邮件 OTP逐步向用户提供替代认证方法，为最终过渡到密钥打下基础。这样的解决方案可以利用现有移动设备中的功能，且只需少量工程调整。

在个人博客中，蒙德洛重申了 SMS带来的成本和欺诈问题。在他的从业经历中，他发现有多家公司“寻求降低发送短信的成本”，而这些成本显然是相当可观的。但这些公司均未选择“为了这项特权而收费，尤其是在这项服务本应是基本功能的情况下”。相反，如果真以安全为驱动力，Twitter应该转向密钥——这可以