ทวิตเตอร์ประกาศปรับปรุงฟีเจอร์การยืนยันตัวตนสองปัจจัยหรือ 2FA ใหม่ โดยยกเลิกการกรอกเบอร์โทรศัพท์เพื่อการส่ง SMS รหัสยืนยันตัวตนแล้ว

ปัจจุบัน ทวิตเตอร์มีระบบยืนยันตัวตนสองปัจจัยสามแบบ คือ SMS, แอปสร้างรหัส (เช่น Google Authenticator) และกุญแจความปลอดภัย (เช่น YubiKey) ซึ่งก่อนหน้านี้ หากเปิดการยืนยันตัวตนสองปัจจัยจะต้องเปิดช่องทาง SMS เสมอ ส่วนอีกสองช่องทางเป็นทางเลือกว่าจะเปิดหรือไม่เปิดก็ได้

หลังจากนี้ผู้ใช้ทวิตเตอร์ที่เปิดระบบยืนยันตัวตนจะเลือกใช้เบอร์โทรศัพท์หรือแอปสร้างรหัสก็ได้ ส่วนกุญแจความปลอดภัยจะยังคงเป็นตัวเลือกเหมือนเดิม เนื่องจากกุญแจความปลอดภัยจะรองรับการใช้งานเฉพาะบนเว็บไซต์เท่านั้น

การยืนยันตัวตนผ่าน SMS นั้นถูกตั้งคำถามด้านความปลอดภัยมาสักระยะหนึ่งแล้ว โดยกรณีที่เกิดขึ้นล่าสุดของทวิตเตอร์คือมีผู้ใช้เทคนิค SIM-swapping เพื่อทวีตจากบัญชีของซีอีโอ Jack Dorsey มาแล้ว ซึ่งแม้ว่าจะไม่ได้เกี่ยวกับการยืนยันตัวตนสองปัจจัยโดยตรง แต่สำหรับระบบที่พึ่งพา SMS แล้ว นี่ก็ถือเป็นช่องโหว่ความปลอดภัยที่สำคัญ

ที่มา - @TwitterSafety, Engadget