如果有什么方法能让用户对已经存在严重缺陷的双因素认证系统产生反感的话，Twitter已经找到了。周二，这家社交媒体网站表示，它使用了2FA提供的电话号码和电子邮件地址来为用户定制广告。

 

Twitter要求用户提供有效的电话号码才能获得2FA保护。即使用户的2FA保护仅仅基于安全密钥或身份验证应用程序，也必须要有一个可用的手机号码，而这些应用程序并不依赖于手机号码。从用户的Twitter设置中删除一个电话号码会立即从Twitter 2FA中删除一个帐户，正如我在发表这篇文章之前所证实的那样。

 

安全和隐私倡导者一直对这一要求颇有怨言，因为这并不是使用2FA保护来抵御谷歌、Github和其他顶级网站的条件。周二，Twitter给了批评人士一个新的抱怨理由。该网站说，它可能无意中使用了为2FA和其他安全目的提供的电子邮件地址和电话号码，以便将用户与广告商提供的营销名单匹配。推特没有透露这次错误影响的用户数量是数以百万计还是数以百万计，也没有透露这种不恰当的定位持续了多长时间。

 

公司官员写道:

 

我们不能肯定地说有多少人受到了影响，但为了做到透明，我们想让每个人都知道。我们从未与合作伙伴或任何其他第三方共享过任何个人数据。从9月17日起，我们已经解决了导致这种情况发生的问题，不再使用为安全或安全目的收集的电话号码或电子邮件地址进行广告宣传。

 

安全提倡者，包括马特·格林——约翰·霍普金斯大学密码学教授——立即对Twitter的失言进行了严厉的批评。

 

他在Twitter上写道:“严肃地说，沐鸣开户Q554258使用有价值的广告标识符作为安全系统的输入，这是谁的主意?”“这就像用生肉保护你的帐篷不受熊的袭击。”

 

并不是所有的2FA都是一样的

 

双因素身份验证已成为保护账户免受钓鱼攻击和所谓的“假身份”攻击的最有效手段(后者使用在一个网站的入侵中被清除的密码来猜测不相关网站的密码)。正如它的名字所暗示的，2FA需要一个因素——例如，一个安全密钥或指纹——加上一个密码才能成功地从一个以前从未访问过该账户的设备上登录。

 

在过去的几年里，安全从业人员越来越远离基于短信的2FA。原因:(1)攻击者可以控制用户的电话号码通过冒充业主和承运人能够更换SIM卡,和(2)短信可以通过信号系统的弱点劫持了7号的路由协议,移动运营商使用他们的网络互操作。众所周知，攻击者不止一次地积极利用这些弱点。

 

一种更有效的2FA方法依赖于物理安全密钥，这些密钥通过USB或NFC接口连接，或者不太安全，但仍然比由authenticator应用程序生成的sms一次性密码要好。Twitter允许两种形式的2FA。两者都需要用户提供电话号码。

 

Twitter预示着变化即将到来

 

Twitter的代表拒绝公开回答为什么使用2FA需要一个电话号码。然而，一名背景代表说，这一要求是基于以往的经验，即用户经常失去对其他2FA方法的访问，并被锁定在帐户之外，无法恢复。Twitter官员现在认识到，将2FA与电话号码绑定并不理想，他们正在寻找在未来将二者分离的方法。

 

去年，Facebook因为使用2fa提供的电话号码发送与安全无关的通知而被曝光。该社交网络称，沐鸣开户测速这种行为是一个漏洞造成的。

 

虽然基于短信的2FA并不理想，但对大多数人来说，它仍然比没有2FA要好得多——至少在服务不使用电话号码进行营销时是这样。