APP

自由時報APP
看新聞又抽獎

立即下載
網路社群

「兩步驟驗證」出現漏洞?Twitter 取消簡訊驗證方案

2019-11-25 18:13
文/記者黃敬淳

(圖/法新社)

許多銀行、網路服務都設計有「兩步驟驗證」,透過寄送簡訊、傳送一組隨機的臨時登入碼到用戶預先登錄的手機電話,當作臨時的「第二密碼」,以增加用戶在登入帳號,或者使用信用卡消費時的安全性。

不過,這種包括 Google、Facebook 在內的大廠都有採用的兩步驟驗證方案,卻含有一些缺限,比如可能被駭客攔截簡訊內容,或者單純透過掌握用戶的一些個資,如姓名、電話、Email 等,藉此要求電信公司將電話號碼移轉到另一張駭客可以持有的新 SIM 卡,以拿到這組隨機密鑰。

而稍早,Twiter 則宣佈,將取消這種以簡訊作為第二驗證步驟的方式,改用新的「WebAuthn標準」。這種今年初才正式確立的兩步驟驗證標準,可以讓用戶改透過手機、指紋辨識或臉孔辨識等方案,進行兩步驟驗證,同時可讓用戶不再需要輸入密碼。

蘋果在 2018 年底,也從先前的「兩步驟驗證」,改為新的「雙重驗證」。透過該方案,用戶只能在信任的蘋果裝置上存取 Apple ID 與隨之而來的各種帳號內容。換言之,即使有駭客拿到用戶的 Apple ID 與密碼,也無法在自己的 iOS 裝置上啟用,必須另外輸入顯示在受信任蘋果裝置上的一組 6 位數驗證碼(會自動出現在螢幕),才能順利登入。

至於 Twitter 取消這項驗證方案的原因,官方則沒有另外說明。但先前,Twitter 執行長 Jack Dorsey 的帳號曾遭盜用,並被冒名發表許多不當言論。一般認為,Jack Dorsey 的帳號被盜,便是起因於系統的簡訊驗證碼被中途攔截。

《你可能還想看》

反擊「佔頻寬大戶」!中華電信調整 4G 上網同意書

不用抽 不用搶 現在用APP看新聞 保證天天中獎  點我下載APP  按我看活動辦法

1
已經加好友了,謝謝
歡迎加入【自由3C科技】
按個讚 心情好
已經按讚了,謝謝。