北京时间2月18日消息，OneID（网络密码安全公司）创始人Steve Kirsch称，Twitter一直在招聘工程师去落实双因素身份验证机制保证其用户安全，但事实上双因素身份验证仍然避免不了最近Twitter遭遇攻击25万用户资料泄露等类似的攻击。

双因素身份验证提供了一个额外的有效步骤以阻止潜在的攻击者接管用户的账户，但目前Twitter用户仍然没有一个可用的选项。Twitter在后面几次遭受攻击后，很多人都要求Twitter来实现双因素身份验证，但是根据OneID创始人Steve Kirsch的说法，即使Twitter推出相应的安全措施，它也无法阻击攻击的发生。

应承认双因素身份认证系统在防止现有的网络钓鱼攻击中确实很有效很成功，但Steve Kirsch称，许多人注册的现有服务非常糟糕，并没在整体安全性上有太多改善。

他接着称，从现实角度来看，如果Twitter提供（指双因素身份验证）这将会是一个没有人使用的功能。鉴于很多攻击都是机会主义，再加上攻击者大都关注那些有价值的少数账户，有没有验证实际上几乎没有什么区别。事实上，Steve Kirsch认为引入双因素身份验证会损害用户体验。

Steve Kirsch进一步解释到，Twitter即使在密码中增加一个字符都会影响到注册率，更何况添加一个无用的功能。Twitter应竭尽所能方便客户，添加双因素身份验证举动是正确的但方向错了。

或许有的人觉得这是忽悠，但实际上就算Twitter完成了双因素验证，就算每个人都接受了双因素验证机制，但实际上他们不会…他们会让验证存在和不存在没什么区别。还有个原因是：最近对Twitter的攻击并不是分析其用户账户，而是通过Twitter自己的基础设施直接获得用户的密码哈希，从而威胁用户的信息。

对于一个好的系统Steve Kirsch认为，即使服务完全受到影响，仍然是不可能获得用户的信息。他称，这样的系统已经存在多年。

Steve Kirsch觉得像Twitter和谷歌这样的公司，应该使用公共密钥加密。在这种情况下，如果攻击者想要检索账户密码，他们无法有一个点去继续突破，这是因为他们需要从中央服务器获得唯一的公共密钥，自己的是无用的。而私钥将放在用户的计算机上（如果你有部分通信需要加密的话），只有共同作用才能完全撤除密码。

最后Steve Kirsch表示，随着浏览器技术的进步，HTML5等具有本地存储技术的发展，未来公共密钥数字签名或成为现实。届时用户基本上只要有一个用户名和密码，就可以到处使用，哪怕用户违反某个网站或多个站点，也不受影响。未来若真能如此，定能给人们带来易用性（笔者注：估计和QQ授权登录不一样，未来公共密钥数字签名安全性很高）。 （文/张勇 责编：魏兵）

转自CSDN.NET

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！