Twitter公司近日發布報告稱，采用雙因素的用戶仍然少得驚人，這在網絡安全專業人士中引發了憤怒和沮喪。雙因素身份驗證（2FA）是推特針對賬戶泄露的最強保護措施之一。啟用2FA可以確保即使賬戶口令被泄露（可能是由于在其他不太安全的網站上重復使用了您的Twitter口令），攻擊者仍將被阻止登錄用戶的賬戶。

　　網絡安全專家可能是一群脾氣暴躁的人。這些爭論和爭議持續了幾十年（有人提出負責任的信息披露嗎？），而且很難從所有利益相關者中找到關于最佳風險緩解決策的共識。

　　一個出人意料的結果？

　　有一個非常值得注意的例外：多因素認證（MFA）被普遍認為是一種跳躍式的安全措施，可以大幅減少身份盜竊和在線欺詐等在線威脅。安全專家經常建議用戶在可用的地方使用MFA技術，突顯額外的身份驗證對阻止惡意黑客的價值。

　　你一定不會忘記2020年那個猜對美國前總統特朗普推特賬號口令的蓋弗斯。他如此容易地進入特朗普的推特賬戶說明特朗普并沒有采取基本的安全措施，例如開啟雙重驗證。當時特朗普推特賬號的口令是“maga2020”。

　　《衛報》報道稱，這不是蓋弗斯第一次黑進特朗普的賬號了。2020年早些時候蓋弗斯曾宣稱，2016年他和另外兩人就登陸過特朗普的推特賬戶，那時候特朗普用的密碼是“yourefired”（你被炒了），這是特朗普在主持某美國真人秀節目時用過的口頭禪。

　　盡管如此，經過十年的宣傳和在創新上的數百萬投入，MFA的整體應用仍然停滯不前，Twitter的最新數據顯示了一個驚人的事實。

　　在推特本月發布的一份新的透明度報告中，這家社交媒體巨頭表示，去年7月至12月，其所有活躍賬戶中只有2.3%啟用了至少一種雙因素認證方法。

　　更糟糕的是，在選擇啟用口令驗證功能的僅有2.3%的用戶中，80%的用戶使用了更弱的基于短信的身份驗證，眾所周知，這種身份驗證很容易受到網絡釣魚和sim卡劫持攻擊。

　　Twitter承認，這是整個行業的一個重大問題?！翱偟膩碚f，2FA的使用率仍然相對較低，這對整個行業來說是一個不幸的挑戰。當賬戶不支持2FA時，我們只能依靠不那么強大的機制來幫助保持Twitter賬戶的安全。”

　　“總的來說，這些數字表明，我們仍需要鼓勵更廣泛地采用2FA，同時努力提高賬戶使用2FA的易用性。讓2FA方法更簡單、用戶更友好，將有助于鼓勵采用，并提高Twitter的安全性?！?/p>

　　Twitter稱贊2FA是“我們針對賬戶泄露的最強保護措施之一”，并指出它有助于減輕口令重用或數據盜竊的威脅，因為Twitter賬戶可能是數據轉儲的一部分。

　　有趣的是，Twitter提供了幾種類型的雙因素認證，包括使用認證應用程序的能力，硬件安全密鑰，甚至是文本消息/短信選項，這是有風險的，但總比沒有好。

　　“雖然任何形式的2FA都比完全不啟用2FA安全得多，但有些形式的2FA比其他形式的2FA更安全?？偟膩碚f，基于短信的2FA是最不安全的，因為它容易受到sim劫持和網絡釣魚攻擊，”Twitter的透明度報告寫道，盡管它指出，大多數啟用MFA的用戶都在使用短信方式。

　　為什么用戶不啟用2FA？

　　安全專家對推特上的這些數字既有警惕，也有憤怒。

　　“你想讓我從哪里開始？”一位人脈廣、負責大規模部署MFA的安全專業人士問道。“建立MFA的用戶體驗是一場災難。這是一場更大的災難，因為每個人的做法都不一樣，任何事情都沒有標準。您不能將從一次部署中吸取的經驗教訓用到下一次部署中。這只是亂?！?/p>

　　安迪·埃利斯（Andy Ellis）是一位經驗豐富的安全主管，目前擔任YL Ventures的運營合伙人。艾利斯說：“如果手機丟了卻沒有辦法恢復賬戶，那就不值得了?！边@位前Akamai安全主管表示，Twitter和用戶之間缺乏付費關系，也加劇了低采用率。

　　微軟的David Weston表示，創建安全機制和將其作為可選特性啟用之間存在脫節。

　　Weston在Twitter討論中表示：“可選的安全性總是意味著低價值?！彼赋?，技術供應商需要更加努力，使整個過程更加透明，對所有人來說都更容易。

　　另外一個小問題是，由于瀏覽器會話壽命長，大多數平臺上越來越多的用戶實際上不知道自己的口令。正如一位安全專家所解釋的那樣，雙因素認證僅適用于記住口令或使用口令管理器的人。

　　Color Health的安全主管Will Gregorian說，全行業MFA的使用率仍然很低，因為MFA的申請和設置過程可能充滿了不便，而且擔心被永久鎖定賬戶?！坝脩艚缑媸遣灰恢碌模盙regorian說，并指出當用戶啟用MFA并仍然收到數據泄漏通知時，負面模式會得到加強。

　　這些問題比糟糕的用戶體驗或對賬戶鎖定的擔憂更為嚴重。在某些情況下，一些金融服務的在線提供商甚至推出了定制的雙因素技術，繞過了行業標準，給生態系統增加了更多摩擦。

　　未來之路何在？

　　總的來說，2FA的使用率仍然相對較低，這對整個行業來說是一個不幸的挑戰。當賬戶不啟用2FA時，我們只能依靠不那么強大的機制來幫助保持Twitter賬戶的安全。然而，令人鼓舞的是，在報告期間，2FA的使用顯著增加，因為這表明人們越來越多地使用2FA來保護他們的Twitter賬戶。

　　安全密鑰雖然是最安全的2FA形式，但仍然是相對較新的。在過去的一年里，Twitter已經對我們的安全密鑰支持進行了大量的改進，我們希望在下一個報告時間間隔內看到使用量的增長。

　　總的來說，這些數字表明了繼續鼓勵更廣泛采用2FA的必要性，同時也在努力提高賬戶使用2FA的易用性。讓2FA方法更簡單、用戶更友好將有助于鼓勵采用并提高Twitter的安全性。