圖片來源: 

photo by Alexander Shatov on unsplash

去年一名當時只有17歲的青少年Graham Clark針對Twitter內部員工展開電話魚叉式網釣攻擊,取得了多名Twitter員工的憑證,這起事件讓Twitter痛定思痛,要求內部員工只能使用安全金鑰作為雙因素認證(2FA)的途徑,並於本周對外分享了整個過程

由於Twitter員工得以永遠選擇遠端工作,因此Twitter是統一採購適用的實體金鑰並寄送至全球的逾5,500名員工,選擇的是YubiKey 5 NFC及YubiKey 5C NFC金鑰,因為它們同時支援採用USB的筆電,以及採用NFC的Android或iOS裝置。

除了透過YubiKey的遞送服務將金鑰寄至美國、加拿大與歐洲地區之外,其地地區的員工則有賴當地的合作夥伴遞送。

此外,Twitter亦於內部系統新增對安全金鑰的支援,例如該系統原本就支援WebAuthn,但現在也新增對系統認證的支援,包括蘋果的FaceID/TouchID,微軟的Windows Hello,以及Android內建的實體金鑰,以增加使用金鑰的便利性,也不致於對尚未收到實體金鑰的員工造成困擾。

接著身居世界各地的員工就必須註冊金鑰,之後Twitter再關閉舊有的2FA系統,強制員工於內部網路使用安全金鑰,整個流程在3個月內完成。

在這期間Twitter處理了許多意外與難題,像是在疫情期間吃緊的物流有時會把金鑰寄丟,也必須開發機制來追蹤員工的金鑰註冊狀況 ,並提供必要的技術支援,同時鼓勵員工擴大採用安全金鑰,就算離職了還是可保有安全金鑰來保護自己的個人帳號。

Twitter也發現了不少安全金鑰生態體系值得改善的地方,例如雖然有愈來愈多的系統支援安全金鑰,但仍有些不足,像是某些桌面應用程式經常透過嵌入式瀏覽器來載入SSO登入畫面,但這些嵌入式瀏覽器解決方案卻不支援WebAuthn協定,Twitter認為,在理想的狀態下,桌面的應用程式應該採用系統預設的瀏覽器,因為它們在SSO登入流程中皆支援安全金鑰。

此外,若要替換金鑰也是個挑戰,Twitter發給每個員工兩個實體金鑰,一個是主要金鑰,另一個作為備份使用,再利用SSO來減少員工註冊金鑰的數量。不過,Twitter期待會有更好的方法來幫助員工或使用者新增或移除金鑰,亦建議可提供更友善的WebAuthn介面。


熱門新聞

Advertisement