去年遭骇之后，Twitter内部只使用安全金钥作为2FA认证方式

去年一名当时只有17岁的青少年Graham Clark针对Twitter内部员工展开电话鱼叉式网钓攻击，取得了多名Twitter员工的凭证，这起事件让Twitter痛定思痛，要求内部员工只能使用安全金钥作为双因素认证（2FA）的途径，并于本周对外分享了整个过程。

由于Twitter员工得以永远选择远端工作，因此Twitter是统一采购适用的实体金钥并寄送至全球的逾5,500名员工，选择的是YubiKey 5 NFC及YubiKey 5C NFC金钥，因为它们同时支援采用USB的笔电，以及采用NFC的Android或iOS装置。

除了透过YubiKey的递送服务将金钥寄至美国、加拿大与欧洲地区之外，其地地区的员工则有赖当地的合作伙伴递送。

此外，Twitter亦于内部系统新增对安全金钥的支援，例如该系统原本就支援WebAuthn，但现在也新增对系统认证的支援，包括苹果的FaceID/TouchID，微软的Windows Hello，以及Android内建的实体金钥，以增加使用金钥的便利性，也不致于对尚未收到实体金钥的员工造成困扰。

接着身居世界各地的员工就必须注册金钥，之后Twitter再关闭旧有的2FA系统，强制员工于内部网络使用安全金钥，整个流程在3个月内完成。

在这期间Twitter处理了许多意外与难题，像是在疫情期间吃紧的物流有时会把金钥寄丢，也必须开发机制来追踪员工的金钥注册状况 ，并提供必要的技术支援，同时鼓励员工扩大采用安全金钥，就算离职了还是可保有安全金钥来保护自己的个人账号。

Twitter也发现了不少安全金钥生态体系值得改善的地方，例如虽然有愈来愈多的系统支援安全金钥，但仍有些不足，像是某些桌面应用程序经常透过嵌入式浏览器来载入SSO登入画面，但这些嵌入式浏览器解决方案却不支援WebAuthn协定，Twitter认为，在理想的状态下，桌面的应用程序应该采用系统预设的浏览器，因为它们在SSO登入流程中皆支援安全金钥。

此外，若要替换金钥也是个挑战，Twitter发给每个员工两个实体金钥，一个是主要金钥，另一个作为备份使用，再利用SSO来减少员工注册金钥的数量。不过，Twitter期待会有更好的方法来帮助员工或使用者新增或移除金钥，亦建议可提供更友善的WebAuthn界面。