Twitter的新双重认证政策引发争议

关键要点

上周，Twitter悄然宣布将取消所有未付费账户的双重认证2FA短信验证，声称此举是为了减少不法分子对基于手机的2FA的滥用行为。Twitter官方表示：“到目前为止，我们提供了三种双重认证方法不幸的是，我们发现手机号码验证被不法分子利用并滥用。”从今天起，非Twitter Blue订阅用户将不再能够注册短信方式的双重认证。

Twitter决定给予已经使用手机验证的非订阅者30天的时间来禁用该功能并切换到其他身份验证方法。3月20日后，所有未付费的用户将不能再使用短信作为双重认证方式。更进一步的是，Twitter计划在那时关闭所有依旧启用短信验证的账户。官方鼓励未订阅的用户使用身份验证应用或其他安全密钥替代。

这一行动显然引发了用户的强烈反响，不少人对此表示愤怒并调侃，认为此举是为了迫使用户支付曾经重要的蓝勾勾认证功能。绝大多数用户对此不买账，纷纷指出这一政策将为黑客提供便利。

“埃隆马斯克在一个周五的晚上宣布取消最基本的安全措施，真是太勇敢了，只有付费8美元的人才有安全保障。”独立记者尼科尔佩尔罗斯在Twitter上如是说。“现在是时候将FTC安全规则扩展到社交媒体平台上了，真是个笑话。”

在二十多条用户的回应中，大家普遍将这一政策解读为一种贿赂：“支付费用，否则你会遭到钓鱼”以及“下一个，非Twitter Blue用户每年只能改变一次密码”等等。推特用户彼得雅雷德、托马斯麦克斯韦尔和凯坦乔希分别发表了相关看法。

总的来说，阿伦鲁帕尔Aaron Rupar写道：“旧的：每个人都支付8美元以获得优秀的新功能，最好的Twitter体验！新的：支付11美元，否则你的账户就会被黑，真是个混蛋。”

实际上，就在上个月，美国医院协会的网络安全及风险高级顾问约翰里基John Riggi曾警告相关单位，要在当前形势下利用多重身份验证。“在这个阶段，捍卫你的行为将非常困难，因为这是一种非常基本的技术，”里基在加州大学旧金山斯坦福卓越监管科学与创新中心的讨论中表示。他指出：“白宫已呼吁我们实施基本的网络安全措施，仅这一点就能够以极低的成本预防大量勒索软件攻击。”

在接受SC媒体采访时，Socura首席执行官安迪凯斯Andy Kays警告称，这一决定将是“骗子们的圣诞节提前到来”。尽管短信2FA存在缺陷，但由于其在用户中的广泛使用，依然是一个“极具价值的安全功能”。由于个人通常是成功黑客攻击的主要推动者，任何安全功能的使用都应被视为一种积极措施。

显然，总是要比什么都不做好，特别是对那些“对技术不太熟悉的社交媒体用户”而言，他们最可能受到这一变动的影响。凯斯补充说：“大多数人会从使用短信2FA转向完全不使用任何形式的2FA，因而他们的安全性将会大幅降低，成为骗子、网络犯罪分子和身份盗窃者的主要目标。”

虽然希望用户能转向更加通用的身份验证应用，凯斯强调说：“用户应该在一