隨著近期幾大重要媒體Twitter賬戶被盜，越來(lái)越多的公司開始推行雙因素認(rèn)證加強(qiáng)賬戶安全管理，Twitter隨即也加入其中。

Twitter計(jì)劃在用戶賬戶的設(shè)置頁(yè)面上添加一個(gè)復(fù)選框，在登錄Twitter賬戶前，用戶一旦選中該復(fù)選框，一條包含認(rèn)證碼的短消息便會(huì)發(fā)送至用戶指定的手機(jī)號(hào)。這項(xiàng)功能實(shí)現(xiàn)的前提是用戶的手機(jī)運(yùn)營(yíng)商能夠支持該功能。

Twitter的安全團(tuán)隊(duì)經(jīng)理Jim O’Leary在其發(fā)表的一篇博客上提到：“增加登陸驗(yàn)證步驟，并不妨礙用戶當(dāng)前使用的應(yīng)用程序繼續(xù)運(yùn)行。”

“如果用戶要在其他設(shè)備或應(yīng)用程序上登錄Twitter帳號(hào)，可以訪問(wèn)其應(yīng)用程序頁(yè)面，生成一個(gè)臨時(shí)密碼，然后以此密碼來(lái)登錄賬戶并驗(yàn)證該應(yīng)用程序。”

隨著一個(gè)自稱為敘利亞電子軍(SEA)的黑客組織對(duì)媒體社交帳號(hào)的系列攻擊，安全問(wèn)題對(duì)Twitter而言變得異常敏感。該黑客組織在過(guò)去幾個(gè)月中陸續(xù)入侵了多家媒體賬戶，并通過(guò)這些賬戶策劃多起惡作劇事件以達(dá)到為其宣傳的目的，對(duì)社交安全造成了一定威脅。

如敘利亞電子軍曾入侵美聯(lián)社帳號(hào)并發(fā)布了一條虛假消息謊稱白宮遭到恐怖襲擊，從而造成道瓊斯工業(yè)指數(shù)暴跌。其他黑客攻擊還包括對(duì)路透社(已多次遭襲)、法新社、BBC和半島電視臺(tái)的帳號(hào)入侵，因此Twitter不得不向黑客組織發(fā)出警告。然而，洋蔥新聞也難以幸免的被黑了。

媒體調(diào)侃黑客攻擊

與其他媒體不同，洋蔥新聞（The Onion News）發(fā)布了此次被黑的全部細(xì)節(jié)過(guò)程，還給出了如何防止此類事件發(fā)生等相關(guān)建議。據(jù)該媒體的技術(shù)支持團(tuán)隊(duì)說(shuō)明，黑客是通過(guò)對(duì)其員工的谷歌帳號(hào)進(jìn)行三方攻擊的。

該技術(shù)團(tuán)隊(duì)告訴我們，首先黑客給洋蔥新聞的員工發(fā)送電郵，這些郵件的內(nèi)容顯示“請(qǐng)認(rèn)真閱讀以下重要文章，”后面跟著一個(gè)看上去是華盛頓郵報(bào)的鏈接地址。這些郵件并非一次性發(fā)給所有的員工，而是分步驟進(jìn)行，慢慢滲入。

首先有一名員工上鉤(總會(huì)有一名員工上當(dāng))，其賬戶被黑后，該郵件隨即通過(guò)其賬戶轉(zhuǎn)發(fā)給更多員工。由于郵件來(lái)自同事的郵箱，其他員工并不對(duì)郵件的可靠性表示懷疑，因此又有兩名員工被成功釣魚，而其中一位擁有社交媒體的帳號(hào)密碼。

在發(fā)現(xiàn)第一輪攻擊之后，洋蔥新聞的技術(shù)團(tuán)隊(duì)立即給全公司發(fā)送了一封郵件，提醒每位員工需盡快修改密碼。但是在此之前，黑客就已經(jīng)鎖定了一個(gè)漏網(wǎng)帳號(hào)并通過(guò)該帳號(hào)來(lái)傳播釣魚鏈接，為進(jìn)一步造成迷惑，黑客將鏈接地址偽裝成一個(gè)密碼重置按鈕。繼而，又有兩名員工中槍，其中一位則擁有Twitter賬戶登錄的具體信息。

就此，洋蔥新聞編輯團(tuán)隊(duì)發(fā)布了一系列消息，對(duì)此次事件冷嘲熱諷，其中一條消息的標(biāo)題為“敘利亞電子軍在被叛軍殺死前小小娛樂(lè)了一把。”

這種調(diào)侃惹怒了敘利亞電子軍，他們開始通過(guò)洋蔥新聞的Twitter帳號(hào)發(fā)布一系列宣傳信息、虛假新聞和常見(jiàn)的反以色列言論。洋蔥新聞的IT團(tuán)隊(duì)通過(guò)分析這些信息，啟用了應(yīng)急機(jī)制并對(duì)公司每個(gè)郵件賬戶進(jìn)行強(qiáng)制重設(shè)。

不學(xué)前車之鑒 重蹈覆轍

盡管有前車之鑒，敘利亞電子軍的攻擊卻屢試不爽，上周每日電訊報(bào)和金融時(shí)報(bào)的社交網(wǎng)絡(luò)也被黑了。雖然攻擊幾個(gè)重要媒體的社交賬戶并不代表所有可能的黑客攻擊，但熟悉該Twitter項(xiàng)目的人員稱這些攻擊直接加速了Twitter部署雙因素認(rèn)證的步伐。

Twitter并非首個(gè)也不會(huì)是最后一個(gè)推出雙因素認(rèn)證的網(wǎng)站。雙因素認(rèn)證技術(shù)并非阻止黑客攻擊的完美解決方案，該技術(shù)依然會(huì)被黑客破解，但對(duì)于阻止一些簡(jiǎn)單的漏洞攻擊而言，這套技術(shù)將能夠有效保護(hù)用戶帳號(hào)。因此，一些企業(yè)應(yīng)該基于其現(xiàn)有的防護(hù)模式，立即部署Twitter雙因素認(rèn)證系統(tǒng)。