Instagram正在开发非SMS的双因素认证服务

脸书旗下的影像分享平台Instagram本周向TechCrunch证实正在开发非SMS（简讯）的双因素认证服务，以避免骇客借由挟持Instagram用户的SIM卡而入侵用户账号。

双因素认证（Two-factor authentication，2FA）为一身份确认机制，借由整合两种不同的认证方法来保障使用者的账号安全，除了密码之外，简讯为最常被应用在2FA的第二种认证方法。

骇客只要取得使用者的电话号码与其它资讯就能假冒用户本人向电信业者申请新的SIM卡，执行所谓的SIM卡挟持攻击，取得透过简讯传递的确认码，也因此有资安研究人员建议网络服务的使用者应于账号中移除自己的电话号码资讯。

另一方面，Instagram的双因素认证则只能借由SMS进行密码重设或取得登入确认码，因而容易沦为SIM卡挟持的受灾户。

根据TechCrunch的报导，Instagram正在建置一个非SMS的双因素认证系统，可利用Google Authenticator或Duo等双因素认证程式来产生登入确认码，优点是相关确认码只会在使用者的手机上产生，因此就算SIM卡遭骇客挟持，也无法用以登入Instagram用户账号。

Instagram一直到2016年才启用双因素认证，强调该平台持续改善Instagram账号的安全性，包含强化双因素认证。此外，有鉴于SIM卡挟持攻击日益升温，预期也将有愈来愈多的应用推出非SMS的双因素认证服务。