双因素身份验证有帮助但并不像您预期的那样安全

2020-05-08 11:23:23

为了纪念世界密码日,CNET正在重新发布我们关于改进和替换密码的故事。

您可能已经听到了这个安全建议:使用双因素身份验证保护您的帐户。 你会让黑客的生活变得很艰难,所以推理是这样的,如果你将密码与短信发送的代码或由GoogleAuthenticator这样的应用程序生成的代码配对。

问题是:它可以很容易地绕过。 问问Twitter首席执行官杰克·多尔西。 黑客们通过SIM交换攻击获得了多尔西的Twitter账户,该攻击包括欺骗运营商将移动服务切换到新手机。

为了的了解,请查看CNET本周关于密码问题的报道,一些修复方法,如硬件安全密钥和密码管理器(您今天可以开始使用),一些旧的密码选择规则现在已经过时的原因,以及一个关于密码管理器可能出错的警告故事。

别忘了知道。 每个工作日从CNET新闻获得最新的科技报道。

银行、社交网络和其他在线服务正在转向双因素认证,以遏制大量黑客和数据窃取。 超过5.55亿个密码已通过数据泄露。 即使你的密码不在名单上,我们中的许多人重复使用密码,甚至声称自己是黑客,这意味着你可能比你想象的更脆弱。

别误会我。 双因素认证是有帮助的。 它是一种更广泛的方法的重要组成部分,称为多因素身份验证,使登录更麻烦,但也使它更安全。 就像这个名字所暗示的,这种技术依赖于多种因素的结合,这些因素体现了不同的品质。 例如,密码是你知道的东西,安全密钥是你拥有的东西。 指纹或面部扫描只是你的一部分。

但是,基于代码的双因素身份验证并没有像您希望的那样提高安全性。 这是因为代码只是你知道的东西,就像你的密码,即使它的保质期很短。 如果被偷了,你的安全也是。

黑客可以创建假网站来拦截你的信息,例如使用Modlishka软件,该软件是由一位安全研究员编写的,他想展示易受攻击的网站有多严重。 它实现了黑客攻击过程的自动化,但是没有什么能阻止攻击者编写或使用其他工具。

以下是攻击的原理。 一封电子邮件或短信引诱你到假网站,黑客可以自动从原件实时复制,以创造令人信服的假货。 在那里,您输入登录详细信息和通过短信或验证程序获得的代码。 然后,黑客将这些细节输入到真正的网站,以获得访问您的帐户。

然后是SIM交换攻击,得到了Twitter的多西。 黑客模仿你,说服像Verizon或AT&;T这样的运营商的员工将你的电话服务切换到黑客的电话上。 每部手机都有一个离散的芯片——用户标识模块,或SIM,将其标识到网络上。 通过将您的帐户移动到黑客的SIM卡上,黑客可以读取您的消息,包括通过短信发送的所有身份验证代码。

不要仅仅因为它不完美就放弃双因素认证。 它仍然比单独使用密码要好得多,而且更能抵抗大规模的黑客攻击。 但一定要考虑对敏感账户提供更强的保护,比如硬件安全密钥。 Facebook、Google、Twitter、Dropbox、GitHub、微软和其他公司今天都支持这项技术。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。