Twitter 推出 SMS 二步验证禁令引发的争议

关键要点

近两周后，Twitter 将对非订阅用户实施禁止使用 SMS 短信进行二步验证2FA的政策，这一决定遭到安全界的广泛抵制。安全专家们认为，这一禁令会让用户的安全性降低，并且缺乏简单易行的替代方案。

FIDO 联盟执行董事安德鲁希基亚尔Andrew Shikiar表示：“从实用的角度来看，这一政策实际上剥夺了最低层次的二步验证，但没有任何可行或简便的替代方案。”尽管 SMS 验证相对易于使用，无需用户设置身份验证器，也能在一定程度上增强密码保护，但其缺点也显而易见，比如可能被攻击、代码以明文形式发送等。

Twitter 决定取消 SMS 验证的消息在其平台上引发大量嘲讽，许多人称这将成为黑客的“节日”。希基亚尔强调，这不仅让用户的安全性变低，且这种禁令是没有必要的。他指出，虽然可能有某种“商业模式”掩盖在创新的外衣下，但并未真正降低成本。

尽管这一决定在不少方面引起了争议，希基亚尔也指出，Twitter正试图将用户从 SMS 一次性密码转移开，这是值得肯定的一点。但他也强调，许多用户在 SMS 验证禁令生效后，将缺乏安全密钥或下载个人 OTP 的意识，从而限制了 2FA 的使用。

Twitter 应该采取什么更好的方式来替代 2FA？

Twitter 及其他考虑类似安全变化的公司，应该明确说明变更的原因及可能的更安全选项，以帮助用户保护账户。例如，可以在禁用 SMS 验证时，推广使用能支持移动用户的密钥passkeys。希基亚尔表示，Twitter 本可以告知用户将取消 OTP，同时时候教育用户如何使用更安全的密钥，这样的方案会更合理。

如果没有提供替代方案，Twitter 的举动便是“错失良机”。希基亚尔称，密钥并不昂贵，并且“良好的密钥是用户认证中无法被钓鱼的主要因素”，使用这些密钥会使用户体验更为简单。

通过使用密钥，Twitter 可以节省资金并确保用户安全，虽然“这不是完美的，但它是有效的”。希基亚尔认为，Twitter 还可以利用这一转变来教育用户如何使用密钥，这将是一个更好的方法。

借助密钥，企业现在拥有一种适合消费者的认证方法，“这是一种全新的范式”。他还强调，我们需要重新考虑对认证的看法，尤其是在第一因素认证本质上存在缺陷的背景下。

苹果的软件工程师里基蒙德洛Ricky Mondello补充说，还可以通过电子邮件 OTP 逐步向用户提供替代认证方法，为最终过渡到密钥打下基础。这样的解决方案可以利用现有移动设备中的功能，且只需少量工程调整。

在个人博客中，蒙德洛重申了 SMS 带来的成本和欺诈问题。在他的从业经历中，他发现有多家公司“寻求降低发送短信的成本”，而这些成本显然是相当可观的。但这些公司均未选择“为了这项特权而收费，尤其是在这项服务本应是基本功能的情况下”。相反，如果真以安全为驱动力，Twitter 应该转向密钥这可以