就在本周早些時(shí)候，Twiiter公布了自家最新雙因素身份認(rèn)證系統(tǒng)。通常情況下，每當(dāng)聽說這類系統(tǒng)時(shí)，我總是好奇他們是否會使用基于時(shí)間的一次性密碼算法（簡稱TOMP）。

TOMP目前已經(jīng)被多家企業(yè)奉為標(biāo)準(zhǔn)化方案，其中包括Amazon、Dropbox、Linode、Evernote以及微軟。使用這套算法的重要作用在于，大家所有的安全令牌機(jī)制都可被囊括于同一款應(yīng)用程序當(dāng)中。不過Twitter決定放棄這套方案；事實(shí)上，他們表示自己開發(fā)的安全機(jī)制效果更為理想。

事實(shí)的確如此。

簡而言之，Twitter利用公鑰/私鑰加密為設(shè)備創(chuàng)建一套密鑰對，同時(shí)通知Twitter的服務(wù)器當(dāng)前公鑰設(shè)置的具體內(nèi)容。秘密的私鑰永遠(yuǎn)不會被公開，并與由公鑰驗(yàn)證的簽名一道用于標(biāo)記由設(shè)備發(fā)出的請求。
這套系統(tǒng)的出色之處在于，即使Twitter的服務(wù)器被攻陷，攻擊者也只能獲取到一大堆公鑰。缺少私鑰的配合，犯罪分子將無法冒充用戶進(jìn)行操作。

但這套方案的定制特性意味著任何使用雙因素認(rèn)證機(jī)制的用戶都必須首先安裝Twitter應(yīng)用程序。為了鼓勵(lì)人們積極使用其應(yīng)用，Twitter僅將API調(diào)用權(quán)限提供給少數(shù)開發(fā)人員用于編寫自己的平臺，這相當(dāng)于以“愛用用、不用滾”的惡劣態(tài)度擺了用戶一道。此舉實(shí)際上相當(dāng)于強(qiáng)迫用戶只使用Twitter提供的社交服務(wù)。
不過就我目前觀察到的結(jié)果，開發(fā)人員對Twitter提出的方案并不買賬——事實(shí)上，眼下還沒有哪家第三方客戶端廠商能順利接手這套新型驗(yàn)證機(jī)制。由于不想安裝根本用不上的應(yīng)用客戶端，用戶本身也選擇了離開或者壓根不理這套雙因素驗(yàn)證方案。當(dāng)然，Twitter的如意算盤也許是希望能借此擠垮與自己競爭的第三方客戶端。

即使Twitter真的遭遇安全違規(guī)，他們也更可能直接重置密鑰對而非以審慎的態(tài)度處理問題。這種簡單粗暴的方式與我們經(jīng)常聽說的Hash及Salt密碼被盜狀況非常相似，對于密碼保護(hù)而言并無益處。在這樣的背景下，就算是雙因素安全機(jī)制也會變得于事無補(bǔ)。

如果要對上述爭論做個(gè)總結(jié)，那么一切都應(yīng)該被歸結(jié)到保持一致性方面。盡管Twitter的一鍵式系統(tǒng)確實(shí)相當(dāng)便捷，用戶能夠在使用多種安全令牌系統(tǒng)的同時(shí)繼續(xù)在不同客戶端中保持一致的使用體驗(yàn)；然而如果大家對于安全問題的關(guān)注已經(jīng)嚴(yán)謹(jǐn)?shù)介_始使用雙因素認(rèn)證機(jī)制，那么對基于TOMP的安全系統(tǒng)也應(yīng)該完全能夠應(yīng)付得來。

所謂安全性，其核心在于對風(fēng)險(xiǎn)進(jìn)行管理，而只有合理的保護(hù)強(qiáng)度（既不過弱也不必過強(qiáng)）才能真正實(shí)現(xiàn)安全效果。我們不可能為了小概率事件而在入睡時(shí)把移動設(shè)備放在防爆掩體當(dāng)中。Twitter帶來的雙因素系統(tǒng)到底是不是更安全？沒錯(cuò)。但我們真的有必要花這么大力氣為每位普通用戶降低安全風(fēng)險(xiǎn)嗎？答案顯然是否定的。

還有很多其它能幫助大家制定安全決策的服務(wù)企業(yè)可供選擇，如果他們掌握的信息足夠全面——例如了解我們?nèi)绾问褂米约旱脑O(shè)備、習(xí)慣于將哪些數(shù)據(jù)保存在其中以及這部分?jǐn)?shù)據(jù)的實(shí)際價(jià)值——就會發(fā)現(xiàn)每個(gè)人對安全性的需求都不一樣。不少用戶也正是出于這樣的考慮才會使用非常愚蠢的密碼內(nèi)容。

Twitter的所作所為給我留下了深刻印象——一套更加封閉的專有系統(tǒng)，巧妙地在宣傳安全賣點(diǎn)的同時(shí)給了開發(fā)人員一記狠狠的耳光。出發(fā)點(diǎn)的正確并不能扭曲現(xiàn)實(shí)，這種危害開發(fā)人員利益的做法完全不能接受。
很多用戶對目前Twitter所采用的基于TOMP系統(tǒng)的安全機(jī)制表示滿意，即使其實(shí)際安全效果相對較差。我們根本找不到足夠的理由來替代現(xiàn)有方案。與密碼這種油盡燈枯、必須迎來替代方案的機(jī)制不同，目前我們還看不到強(qiáng)行推廣雙因素驗(yàn)證的必要性與合理性。

在理想狀態(tài)下，我們也許應(yīng)該同時(shí)擁有兩套方案可供選擇；一者關(guān)注安全性而在便捷性方面做出妥協(xié)、另一者則強(qiáng)調(diào)便捷性而采取相對較弱的保護(hù)機(jī)制。不過商家顯然還沒有做好為用戶量身定制安全方案的準(zhǔn)備。