Twitter公司近日發(fā)布報(bào)告稱(chēng)，采用雙因素的用戶仍然少得驚人，這在網(wǎng)絡(luò)安全專(zhuān)業(yè)人士中引發(fā)了憤怒和沮喪。雙因素身份驗(yàn)證（2FA）是推特針對(duì)賬戶泄露的最強(qiáng)保護(hù)措施之一。啟用2FA可以確保即使賬戶口令被泄露（可能是由于在其他不太安全的網(wǎng)站上重復(fù)使用了您的Twitter口令），攻擊者仍將被阻止登錄用戶的賬戶。

　　網(wǎng)絡(luò)安全專(zhuān)家可能是一群脾氣暴躁的人。這些爭(zhēng)論和爭(zhēng)議持續(xù)了幾十年（有人提出負(fù)責(zé)任的信息披露嗎？），而且很難從所有利益相關(guān)者中找到關(guān)于最佳風(fēng)險(xiǎn)緩解決策的共識(shí)。

　　一個(gè)出人意料的結(jié)果？

　　有一個(gè)非常值得注意的例外：多因素認(rèn)證（MFA）被普遍認(rèn)為是一種跳躍式的安全措施，可以大幅減少身份盜竊和在線欺詐等在線威脅。安全專(zhuān)家經(jīng)常建議用戶在可用的地方使用MFA技術(shù)，突顯額外的身份驗(yàn)證對(duì)阻止惡意黑客的價(jià)值。

　　你一定不會(huì)忘記2020年那個(gè)猜對(duì)美國(guó)前總統(tǒng)特朗普推特賬號(hào)口令的蓋弗斯。他如此容易地進(jìn)入特朗普的推特賬戶說(shuō)明特朗普并沒(méi)有采取基本的安全措施，例如開(kāi)啟雙重驗(yàn)證。當(dāng)時(shí)特朗普推特賬號(hào)的口令是“maga2020”。

　　《衛(wèi)報(bào)》報(bào)道稱(chēng)，這不是蓋弗斯第一次黑進(jìn)特朗普的賬號(hào)了。2020年早些時(shí)候蓋弗斯曾宣稱(chēng)，2016年他和另外兩人就登陸過(guò)特朗普的推特賬戶，那時(shí)候特朗普用的密碼是“yourefired”（你被炒了），這是特朗普在主持某美國(guó)真人秀節(jié)目時(shí)用過(guò)的口頭禪。

　　盡管如此，經(jīng)過(guò)十年的宣傳和在創(chuàng)新上的數(shù)百萬(wàn)投入，MFA的整體應(yīng)用仍然停滯不前，Twitter的最新數(shù)據(jù)顯示了一個(gè)驚人的事實(shí)。

　　在推特本月發(fā)布的一份新的透明度報(bào)告中，這家社交媒體巨頭表示，去年7月至12月，其所有活躍賬戶中只有2.3%啟用了至少一種雙因素認(rèn)證方法。

　　更糟糕的是，在選擇啟用口令驗(yàn)證功能的僅有2.3%的用戶中，80%的用戶使用了更弱的基于短信的身份驗(yàn)證，眾所周知，這種身份驗(yàn)證很容易受到網(wǎng)絡(luò)釣魚(yú)和sim卡劫持攻擊。

　　Twitter承認(rèn)，這是整個(gè)行業(yè)的一個(gè)重大問(wèn)題。“總的來(lái)說(shuō)，2FA的使用率仍然相對(duì)較低，這對(duì)整個(gè)行業(yè)來(lái)說(shuō)是一個(gè)不幸的挑戰(zhàn)。當(dāng)賬戶不支持2FA時(shí)，我們只能依靠不那么強(qiáng)大的機(jī)制來(lái)幫助保持Twitter賬戶的安全?！?/p>

　　“總的來(lái)說(shuō)，這些數(shù)字表明，我們?nèi)孕枰膭?lì)更廣泛地采用2FA，同時(shí)努力提高賬戶使用2FA的易用性。讓2FA方法更簡(jiǎn)單、用戶更友好，將有助于鼓勵(lì)采用，并提高Twitter的安全性。”

　　Twitter稱(chēng)贊2FA是“我們針對(duì)賬戶泄露的最強(qiáng)保護(hù)措施之一”，并指出它有助于減輕口令重用或數(shù)據(jù)盜竊的威脅，因?yàn)門(mén)witter賬戶可能是數(shù)據(jù)轉(zhuǎn)儲(chǔ)的一部分。

　　有趣的是，Twitter提供了幾種類(lèi)型的雙因素認(rèn)證，包括使用認(rèn)證應(yīng)用程序的能力，硬件安全密鑰，甚至是文本消息/短信選項(xiàng)，這是有風(fēng)險(xiǎn)的，但總比沒(méi)有好。

　　“雖然任何形式的2FA都比完全不啟用2FA安全得多，但有些形式的2FA比其他形式的2FA更安全?？偟膩?lái)說(shuō)，基于短信的2FA是最不安全的，因?yàn)樗菀资艿絪im劫持和網(wǎng)絡(luò)釣魚(yú)攻擊，”Twitter的透明度報(bào)告寫(xiě)道，盡管它指出，大多數(shù)啟用MFA的用戶都在使用短信方式。

　　為什么用戶不啟用2FA？

　　安全專(zhuān)家對(duì)推特上的這些數(shù)字既有警惕，也有憤怒。

　　“你想讓我從哪里開(kāi)始？”一位人脈廣、負(fù)責(zé)大規(guī)模部署MFA的安全專(zhuān)業(yè)人士問(wèn)道。“建立MFA的用戶體驗(yàn)是一場(chǎng)災(zāi)難。這是一場(chǎng)更大的災(zāi)難，因?yàn)槊總€(gè)人的做法都不一樣，任何事情都沒(méi)有標(biāo)準(zhǔn)。您不能將從一次部署中吸取的經(jīng)驗(yàn)教訓(xùn)用到下一次部署中。這只是亂?！?/p>

　　安迪·埃利斯（Andy Ellis）是一位經(jīng)驗(yàn)豐富的安全主管，目前擔(dān)任YL Ventures的運(yùn)營(yíng)合伙人。艾利斯說(shuō)：“如果手機(jī)丟了卻沒(méi)有辦法恢復(fù)賬戶，那就不值得了?！边@位前Akamai安全主管表示，Twitter和用戶之間缺乏付費(fèi)關(guān)系，也加劇了低采用率。

　　微軟的David Weston表示，創(chuàng)建安全機(jī)制和將其作為可選特性啟用之間存在脫節(jié)。

　　Weston在Twitter討論中表示：“可選的安全性總是意味著低價(jià)值?！彼赋?，技術(shù)供應(yīng)商需要更加努力，使整個(gè)過(guò)程更加透明，對(duì)所有人來(lái)說(shuō)都更容易。

　　另外一個(gè)小問(wèn)題是，由于瀏覽器會(huì)話壽命長(zhǎng)，大多數(shù)平臺(tái)上越來(lái)越多的用戶實(shí)際上不知道自己的口令。正如一位安全專(zhuān)家所解釋的那樣，雙因素認(rèn)證僅適用于記住口令或使用口令管理器的人。

　　Color Health的安全主管Will Gregorian說(shuō)，全行業(yè)MFA的使用率仍然很低，因?yàn)镸FA的申請(qǐng)和設(shè)置過(guò)程可能充滿了不便，而且擔(dān)心被永久鎖定賬戶。“用戶界面是不一致的，”Gregorian說(shuō)，并指出當(dāng)用戶啟用MFA并仍然收到數(shù)據(jù)泄漏通知時(shí)，負(fù)面模式會(huì)得到加強(qiáng)。

　　這些問(wèn)題比糟糕的用戶體驗(yàn)或?qū)~戶鎖定的擔(dān)憂更為嚴(yán)重。在某些情況下，一些金融服務(wù)的在線提供商甚至推出了定制的雙因素技術(shù)，繞過(guò)了行業(yè)標(biāo)準(zhǔn)，給生態(tài)系統(tǒng)增加了更多摩擦。

　　未來(lái)之路何在？

　　總的來(lái)說(shuō)，2FA的使用率仍然相對(duì)較低，這對(duì)整個(gè)行業(yè)來(lái)說(shuō)是一個(gè)不幸的挑戰(zhàn)。當(dāng)賬戶不啟用2FA時(shí)，我們只能依靠不那么強(qiáng)大的機(jī)制來(lái)幫助保持Twitter賬戶的安全。然而，令人鼓舞的是，在報(bào)告期間，2FA的使用顯著增加，因?yàn)檫@表明人們?cè)絹?lái)越多地使用2FA來(lái)保護(hù)他們的Twitter賬戶。

　　安全密鑰雖然是最安全的2FA形式，但仍然是相對(duì)較新的。在過(guò)去的一年里，Twitter已經(jīng)對(duì)我們的安全密鑰支持進(jìn)行了大量的改進(jìn)，我們希望在下一個(gè)報(bào)告時(shí)間間隔內(nèi)看到使用量的增長(zhǎng)。

　　總的來(lái)說(shuō)，這些數(shù)字表明了繼續(xù)鼓勵(lì)更廣泛采用2FA的必要性，同時(shí)也在努力提高賬戶使用2FA的易用性。讓2FA方法更簡(jiǎn)單、用戶更友好將有助于鼓勵(lì)采用并提高Twitter的安全性。