安全專家：Twitter安全性落後應採用雙重認證

北京時間7月8日早間訊息，安全專家表示，Twitter在幫助使用者提升賬戶安全方面落後於其他網際網路服務。

軒然大波

Twitter的安全缺陷在7月4日美國獨立日當天體現得尤為明顯。當日，一名身份未明的黑客控制了福克斯新聞(Fox News)的Twitter賬戶，併發布了美國總統奧巴馬的虛假死訊。儘管Twitter賬戶被黑並不鮮見，但這條虛假資訊卻在全球引發了軒然大波。

美國特勤局正在調查這一事件。福克斯新聞稱，目前還不確定黑客是如何獲得該賬戶控制權的，但對Twitter花了5個多小時才取回控制權表示了不滿。

美國西北大學凱洛格管理學院教授丹尼爾·狄爾梅爾(Daniel Diermeier)說：“Twitter現在要做的是對安全問題展開全面審查。對Twitter而言，這是很嚴重的問題。”

雙重認證

安全專家表示，如果Twitter採用雙重認證技術來確保賬戶安全，本次攻擊或許可以避免。在雙重認證系統中，除了固定的賬戶密碼外，使用者必須輸入一個額外的程式碼。該程式碼每分鐘都會改變，但使用者可以通過手機或其他電子裝置獲取。

谷歌和Facebook都已經採用雙重認證來確認使用者身份。

安全專家表示，Twitter很快也將迫於壓力採取這種方式，尤其是來自政治家、大型企業和新聞機構等有影響力的使用者的壓力。

“他們別無選擇。如果還想生存，他們就不得不這麼做。”美國聖迭戈州立大學資訊保安教授默裡·珍尼克斯(Murray Jennex)說。他還警告稱，如果Twitter不盡快增加雙重認證機制，就將“引火燒身”，而公司的聲譽也會因為更多的高調攻擊而受到破壞。

除了福克斯新聞外，PayPal在英國的Twitter賬戶本週也被黑客竊取，並向其粉絲髮送資訊，鼓勵他們訪問www.paypalsucks.com網站。

流量加密

Twitter允許使用者通過未經加密的常規渠道與網站交換資訊，這就使得密碼很容易被黑客竊取。該網站的確提供了一些選項來對流量進行加密，但使用者必須要在Twitter的網址前手動輸入https才能夠實現這一功能。

美國隱私保護組織電子前沿基金會(Electronic Frontier Foundation)技術總監克里斯·帕爾默(Chris Palmer)表示，Twitter應當將https設為預設，因為並非所有使用者都知道這種選擇。谷歌旗下的很多服務預設情況下就會使用https來加密。

“如果沒發生什麼不測，那是因為黑客不屑於攻擊。”帕爾默說。

Twitter發言人林恩·福克斯(Lynn Fox)拒絕透露該公司是否會增加雙重認證模式，或者將https設為預設。她說：“我們非常重視安全，並且一直在尋找幫助使用者提升賬戶安全性的方法。”

但她也補充道，Twitter使用者應當為自己的密碼負責。“我們無法預料站外的危害。這也是我們非常明確地提醒使用者格外注意密碼安全的原因之一。”她說。

原文連結：新浪科技