社群媒體平台 X(前身為 Twitter)近日發布重要通知,要求使用實體安全金鑰(Security Key)或通行金鑰(Passkey)進行雙因素驗證(2FA)的用戶,必須在 2025 年 11 月 10 日前重新註冊。未完成註冊者將無法登入帳號。
域名遷移導致安全金鑰失效
X 平台官方「Safety」帳號上週發布聲明,指出
此次變更僅影響使用通行金鑰或硬體安全金鑰(如 YubiKey)進行雙因素驗證的用戶。該公司強調,
這項變更與資安事件無關,而是因為平台即將從 twitter.com 遷移至 x.com。由於目前的安全金鑰和通行金鑰都綁定在 twitter.com 上,舊域名退役後將無法繼續使用。
X 在聲明中說明,所有使用安全金鑰進行雙因素驗證的帳號,必須在 11 月 10 日前重新註冊金鑰,才能繼續存取平台。用戶可以重新註冊現有的安全金鑰,或註冊新的金鑰。請注意,若註冊新的安全金鑰,其他未重新註冊的金鑰將停止運作。
這項變更不適用於使用其他雙因素驗證方式的用戶,例如透過驗證器應用程式(Authenticator App)進行驗證的用戶不受影響。此外,X 也支援透過簡訊進行雙因素驗證,但自2023年3月20日起,該選項僅限非 Premium 訂閱用戶使用。
安全金鑰提供防網路釣魚保護
安全金鑰和通行金鑰都屬於抗網路釣魚(Phishing-resistant)的驗證方式。它們透過安全儲存在裝置或作業系統中的加密金鑰來驗證用戶身分,無需使用傳統憑證。傳統憑證容易遭到資訊竊取惡意軟體(Infostealing Malware)或網路釣魚攻擊竊取,而這種驗證機制大幅提升帳號安全性,能有效防範憑證竊取攻擊。
重新註冊步驟說明
用戶可依照以下步驟手動完成重新註冊:
- 前往 x.com/settings/account/login_verification/security_keys
- 停用現有的安全金鑰
- 重新註冊安全金鑰
- 輸入密碼以確認身分
完整註冊流程:進入「設定與隱私」→「安全性與帳號存取」→「安全性」→「雙因素驗證」→「安全金鑰」→「管理安全金鑰」→刪除現有金鑰→選擇安全金鑰選項→輸入 X 密碼→輸入電子郵件確認碼→點擊開始→將金鑰插入電腦 USB 連接埠或透過藍牙/NFC 連接→觸碰金鑰上的按鈕→依螢幕指示完成設定。
完成此程序後,安全金鑰和通行金鑰將與 x.com 域名綁定,不受 twitter.com 最終退役的影響。X 建議所有使用安全金鑰的用戶盡快完成重新註冊,以免在 11 月 10 日後無法登入帳號。
本文轉載自BleepingComputer、TheHackerNews。