「兩步驟驗證」出現漏洞？Twitter 取消簡訊驗證方案

（圖／法新社）

許多銀行、網路服務都設計有「兩步驟驗證」，透過寄送簡訊、傳送一組隨機的臨時登入碼到用戶預先登錄的手機電話，當作臨時的「第二密碼」，以增加用戶在登入帳號，或者使用信用卡消費時的安全性。

不過，這種包括 Google、Facebook 在內的大廠都有採用的兩步驟驗證方案，卻含有一些缺限，比如可能被駭客攔截簡訊內容，或者單純透過掌握用戶的一些個資，如姓名、電話、Email 等，藉此要求電信公司將電話號碼移轉到另一張駭客可以持有的新 SIM 卡，以拿到這組隨機密鑰。

請繼續往下閱讀...

而稍早，Twiter 則宣佈，將取消這種以簡訊作為第二驗證步驟的方式，改用新的「WebAuthn標準」。這種今年初才正式確立的兩步驟驗證標準，可以讓用戶改透過手機、指紋辨識或臉孔辨識等方案，進行兩步驟驗證，同時可讓用戶不再需要輸入密碼。

蘋果在 2018 年底，也從先前的「兩步驟驗證」，改為新的「雙重驗證」。透過該方案，用戶只能在信任的蘋果裝置上存取 Apple ID 與隨之而來的各種帳號內容。換言之，即使有駭客拿到用戶的 Apple ID 與密碼，也無法在自己的 iOS 裝置上啟用，必須另外輸入顯示在受信任蘋果裝置上的一組 6 位數驗證碼（會自動出現在螢幕），才能順利登入。

至於 Twitter 取消這項驗證方案的原因，官方則沒有另外說明。但先前，Twitter 執行長 Jack Dorsey 的帳號曾遭盜用，並被冒名發表許多不當言論。一般認為，Jack Dorsey 的帳號被盜，便是起因於系統的簡訊驗證碼被中途攔截。

《你可能還想看》

反擊「佔頻寬大戶」！中華電信調整 4G 上網同意書

不用抽 不用搶 現在用APP看新聞 保證天天中獎　 點我下載APP　 按我看活動辦法