技術通天塔

这就是为什么人们说两因素身份验证并不完美的原因

首次引入双因素身份验证时,它彻底改变了设备安全性,并帮助使身份盗窃变得更加困难——以轻微的登录不便为代价。

但它并不完美,也没有解决我们所有的黑客攻击和数据盗窃问题。最近的一些新闻为黑客如何回避两因素身份验证并削弱我们对它的一些信任提供了更多背景信息。

通过笔记本电脑进行两因素身份验证。

究竟什么是双重身份验证?

双因素身份验证为设备和服务的登录过程增加了一层额外的安全性。以前,登录只有一个身份验证因素——通常是密码,或指纹扫描或面部识别等生物识别登录,偶尔还会添加安全问题。这提供了一些安全性,但远非完美,尤其是使用弱密码或自动填充密码(或者如果登录数据库被黑客入侵并且该信息开始出现在暗网上)。

双因素身份验证通过添加第二个因素来解决这些问题,这是一个人必须做的另一件事,以确保它真的是他们并且他们有权访问。通常,这意味着通过另一个渠道发送代码,例如从服务获取短信或电子邮件,然后您必须输入这些代码。

Duo 身份验证示例。

有些使用时间敏感代码(TOTP,基于时间的一次性密码),有些使用与特定设备关联的唯一代码(HOTP,基于 HMAC 的一次性密码)。某些商业版本甚至可能使用您手头需要的额外物理密钥。

安全功能变得如此普遍,您可能已经习惯于看到类似“我们已经向您发送了一封带有安全代码的电子邮件,如果您还没有收到,请检查您的垃圾邮件过滤器”这样的消息。这在新设备中最为常见,虽然需要一点时间,但与单因素方法相比,它的安全性有了巨大的飞跃。但也有一些缺陷。

这听起来很安全。有什么问题?

网络安全公司 Sophos 最近发布了一份报告,其中详细介绍了一种令人惊讶的新方法,即黑客正在跳过两个因素身份验证:cookie。不良行为者一直在“窃取 cookie”,这使他们能够访问几乎任何类型的浏览器、Web 服务、电子邮件帐户甚至文件。

这些网络犯罪分子如何获得这些 cookie? Sophos 指出,Emotet 僵尸网络就是这样一种窃取 cookie 的恶意软件,它以谷歌 Chrome 浏览器中的数据为目标。人们还可以通过地下市场购买被盗的 cookie,这在最近的 EA 案例中广为人知,其中登录详细信息最终出现在一个名为 Genesis 的市场上。结果是 780 GB 的被盗数据被用来试图勒索公司。

虽然这是一个备受瞩目的案例,但底层方法已经存在,它表明双因素身份验证远非灵丹妙药。除了 cookie 窃取之外,多年来还发现了许多其他问题:

  • 如果黑客掌握了您的服务用户名或密码,他们可能会访问您的电子邮件(特别是如果您使用相同的密码)或电话号码。这对于基于 SMS/文本的双因素身份验证尤其成问题,因为电话号码很容易找到并且可用于复制您的电话(以及其他技巧)并接收文本代码。这需要更多的工作,但坚定的黑客仍然有明确的前进道路。
  • 用于双重身份验证的单独应用程序(例如 Google Auth 或 Duo)要安全得多,但采用率非常低。人们往往不想为了单一服务的安全目的而下载另一个应用程序,并且组织发现简单地询问“电子邮件还是文本?”要容易得多。而不是要求客户下载第三方应用程序。换句话说,最好的双因素身份验证类型并没有真正被使用。
  • 有时密码太容易重置。身份窃贼可以收集有关帐户的足够信息以致电客户服务或寻找其他方式来请求新密码。这通常会绕过涉及的任何两因素身份验证,并且当它起作用时,它允许窃贼直接访问该帐户。
  • 较弱的双因素身份验证形式对民族国家几乎没有保护作用。政府拥有可以轻松应对双重身份验证的工具,包括监控 SMS 消息、强制无线运营商或以其他方式拦截身份验证代码。对于那些想要将自己的数据保密以免受更极权主义政权的人来说,这不是一个好消息。
  • 许多数据盗窃方案完全绕过双重身份验证,而是专注于欺骗人类。看看所有伪装成来自银行、政府机构、互联网提供商等的网络钓鱼企图,要求提供重要的帐户信息。这些网络钓鱼消息看起来非常真实,可能涉及诸如“我们需要您的身份验证码,以便我们也可以确认您是帐户持有人”之类的内容,或其他获取代码的技巧。

我应该继续使用两因素身份验证吗?

绝对地。事实上,您应该检查您的服务和设备,并在可用的情况下启用两因素身份验证。与简单的用户名和密码相比,它对身份盗用等问题提供了更好的安全性。

即使是基于 SMS 的两因素身份验证也比没有身份验证要好得多。事实上,美国国家标准与技术研究院曾经建议不要在两因素身份验证中使用 SMS,但在第二年又将其撤回,因为尽管存在缺陷,但它仍然值得拥有。

如果可能,请选择一种与短信无关的身份验证方法,这样您将获得更好的安全性。此外,请保持您的密码安全,并尽可能使用密码管理器生成用于登录的密码。

安全和隐私设置在 MacBook 上打开。

如何改进双因素身份验证?

摆脱基于 SMS 的身份验证是当前的大项目。双因素身份验证可能会过渡到少数第三方应用程序,例如 Duo ,从而消除了与该过程相关的许多弱点。更多高风险领域将进入 MFA 或多因素身份验证,这增加了第三个要求,如指纹或额外的安全问题。

但消除双因素身份验证问题的最佳方法是引入基于硬件的物理方面。公司和政府机构已经开始要求某些访问级别。在不久的将来,我们很有可能在我们的钱包中都有定制的身份验证卡,准备好在登录服务时在我们的设备上刷卡。现在听起来可能很奇怪,但随着网络安全攻击的急剧增加,它最终可能成为最优雅的解决方案。

Posted

in

by

技術新聞普遍器

Tags: