双重验证很好!那么基于手机短信的双重验证呢?可以说,它不是用户最好的选择。人们因遭遇 SIM 卡调换攻击而发生手机号码和接收短信被劫持的事情,这样的案例已经多不胜数。在这种情况下,我们可以清楚地看到,通过短信向人们发送双重验证代码并非正确的选择。
然而,多年以来,Twitter 一直强制用户使用短信来进行双重验证。在启用双重验证后,你可以切换到另外的选项(比如使用 Google Authenticator 应用或是 Yubikey 实体身份认证设备)。不过,在一开始启用这项功能时,你必须向 Twitter 提供一个手机号码,然后通过短信来完成操作。
现在,Twitter 总算解决了这个问题。该公司的安全团队宣布,从周四的某个时间开始,你将能在不提供手机号码的情况下启用双重验证功能。
在这则消息发布的数月之前,Twitter 首席执行官杰克·多西(Jack Dorsey)的账号遭到了黑客入侵(似乎也是通过 SIM 卡调换实现的);而就在数周之前,Twitter 承认他们一直把用户在开启双重验证时提供的手机号码用于定向广告推送。