如今,似乎你訪問過的每個網站都試圖鼓勵你使用雙因素認證(2FA)。
使用2FA最常見的方法之一是從移動裝置輸入唯一的程式碼。通常,您透過文字訊息接收程式碼,或者使用第三方2FA應用程式生成程式碼。
由於這兩種方法的方便性,它們都是使用程式碼的常用方法。然而,從安全的角度來看,這兩種方法也很弱。而且,由於2FA程式碼的安全性僅與用於交付它的技術一樣高,因此弱點很重要。
那麼,使用簡訊和第三方應用程式訪問你的程式碼有什麼問題?有沒有一個同樣方便、更安全的替代方案?我們要解釋一切。繼續閱讀了解更多。
讓我們花點時間討論一下雙因素身份驗證是如何工作的。如果不理解這項技術背後的機制,本文的其餘部分就沒有什麼意義。
從廣義上講,2FA為您的帳戶增加了一層額外的安全性。也稱為多因素身份驗證,登入憑據不僅包含密碼,還包含第二條資訊,只有帳戶的合法所有者才能訪問這些資訊。
2FA有很多不同的形式。在最基本的層面上,它可以是一些簡單的安全問題(因為沒有人可能知道你母親的婚前姓或你最喜歡的寵物)。在更復雜的一端,它可能是一個生物識別的身份,如視網膜掃描或指紋。
簡訊是最容易訪問和使用2FA程式碼的方式。如果一個站點提供雙因素身份驗證登入,那麼它幾乎肯定會提供SMS作為一個選項。
但是簡訊並不是使用2FA的安全方式。它有兩個關鍵漏洞。
首先,該技術易受SIM交換攻擊。駭客不需要花太多時間就可以進行SIM卡交換。如果他們可以訪問其他個人資訊,比如你的社會保險號碼,他們可以打電話給你的運營商,把你的號碼換成新的SIM卡。
其次,駭客可以截獲簡訊。這一切都回到現在過時的訊號系統7號(SS7)電話路由系統。這種方法早在1975年就被設計出來了,但現在幾乎在全球範圍內仍被用來連線和斷開通話。它還處理數字翻譯、預付費帳單,最重要的是處理簡訊息。
不出所料,1975年的這項技術充滿了安全漏洞。以下是安全專家Bruce Schneier對缺陷的描述:
"If the attackers have access to an SS7 portal, they can forward your conversati*** to an online recording device and reroute the call to its intended destination [...] It means a well-equipped criminal could grab your verification messages and use them before you've even seen them."
當然,發現一個網路罪犯入侵了你的Facebook賬戶還遠遠不夠理想。但當你考慮2FA的其他用途時,情況就更可怕了。網路罪犯可以竊取你在網上銀行使用的密碼,甚至發起並完成資金轉賬。
此外,施耐爾還聲稱,任何人都可以購買SS7網路接入,價格約為1000美元。一旦他們有了訪問許可權,就可以傳送路由請求。為了解決這個問題,網路可能無法驗證請求的來源。
記住,透過SMS使用雙因素身份驗證比禁用2FA要好。你不太可能成為受害者。然而,如果你開始感到有點擔心,你需要繼續閱讀。許多人接受簡訊是不安全的,轉而使用第三方應用程式。
但這可能不會好多少。
使用2FA程式碼的另一種常見方法是安裝專用的智慧**應用程式。有很多選擇。googleauthenticator可以說是最受認可的,但不一定是最好的。有很多替代品在那裡-檢查了Authy,Authenticator Plus和Duo。
但專業2FA應用程式的安全性如何?他們最大的弱點是依賴一把祕金鑰匙。
讓我們後退一步。如果您不知道,當您第一次註冊許多應用程式時,您需要輸入一個金鑰。這個祕密在你和應用程式提供商之間共享。
當你訪問一個站點時,應用程式建立的程式碼是基於你的金鑰和當前時間的組合。同時,伺服器正在使用相同的資訊生成程式碼。這兩個程式碼需要匹配才能授予訪問許可權。聽起來很明智。
為什麼鑰匙是弱點呢?那麼,如果一個網路罪犯設法進入一家公司的密碼和祕密資料庫,會發生什麼呢?每個賬戶都會受到攻擊——攻擊者可以隨意進出。
其次,祕密要麼以明文形式顯示,要麼以二維碼的形式顯示;它不能雜湊,也不能與salt一起使用。在公司的伺服器上可能也是純文字的。
金鑰是專業應用程式使用的基於時間的一次性密碼(TOTP)的基本缺陷。這就是為什麼物理U2F金鑰總是更安全的選擇。
當然,網路犯罪分子入侵第三方應用程式必要資料庫的可能性相當小。但你的應用程式在設計上也可能存在基本的安全缺陷。
流行的密碼管理器LastPass在2017年12月成為受害者。一位程式設計師在Medium上的部落格文章透露,在沒有指紋、密碼或其他安全措施的情況下,可以訪問金鑰。
解決辦法並不複雜。透過訪問LastPass Authenticator應用程式的設定活動(com.lastpass.authenticator驗證程式.活動設定活動),則可以進入應用程式的設定窗格而不進行任何檢查。從那裡,您可以按一下Back鍵訪問所有2FA程式碼。
LastPass現在已經修復了這個缺陷,但問題仍然存在。據這位程式設計師說,他已經試著把這個問題告訴LastPass七個月了,但公司一直沒有解決。還有多少第三方2FA應用程式是不安全的?開發人員知道多少未修復的漏洞,但卻延遲了修補?例如,當你在Facebook上無法訪問你的程式碼生成器時,也有人擔心。
你應該使用通用的第二因子鍵(U2F),而不是依賴SMS和2FA來編寫程式碼。它們是生成程式碼和訪問服務的最安全的方法。
它被廣泛認為是2FA的第二代版本,它簡化並加強了當前的協議。此外,使用U2F鍵幾乎和開啟簡訊或第三方應用程式一樣方便。
U2F金鑰使用NFC或USB連線。當您第一次將裝置連線到帳戶時,它將生成一個稱為“Nonce”的隨機數。Nonce與站點的域名進行雜湊運算,以建立一個唯一的程式碼。
此後,您可以透過將U2F金鑰連線到裝置並等待服務識別它來部署U2F金鑰。
那麼,缺點是什麼?嗯,儘管U2F是一個開放標準,但買一個物理U2F金鑰還是要花錢的。也許更重要的是,你有被偷竊的危險。
被盜的U2F金鑰不會自動使您的帳戶不安全;駭客仍然需要知道您的密碼。但在公共場所,小偷可能已經看到你從遠處輸入密碼,然後才偷走你的財產。
**商之間的價格差別很大,但您可以預期支付大約15美元至50美元。
理想情況下,您希望購買“FIDO認證”的模型。FIDO(Fast IDentity Online)聯盟負責實現認證技術之間的互操作性。會員包括所有人,從谷歌和微軟,到美國銀行和萬事達卡。
透過購買FIDO裝置,您可以確保U2F金鑰可以與您每天使用的所有服務一起使用。如果您想購買DIGIPASS SecureClick U2F金鑰,請檢視該金鑰。
Digipass SecureClick FIDO U2F Security Key BUY NOW ON AMAZON
總而言之,通用第二要素金鑰在易用性和安全性之間提供了一個令人滿意的媒介。簡訊是最不安全的方法,但也是最方便的方法。
記住,任何2FA都比沒有2FA好。是的,登入某些應用程式可能需要額外的10秒鐘,但這總比犧牲安全性好。
... 2012年,Dropbox駭客攻擊導致大量使用者的電子郵件和密碼洩露。四年後,據透露,該公司近三分之二的客戶受到了漏油事件的影響。 ...
...如果你還沒有最喜歡的authenticator應用程式,我們建議你使用Authy,因為它可以在你所有的裝置上同步,這樣你就不會在丟失**時遇到麻煩。 ...
當你在電腦上的時候,你總是用一隻眼睛和一隻耳朵盯著你的**來檢查是否有嗶嗶聲、**和ping聲,這不是很煩人嗎? ...
...的情況下對你的帳戶啟用雙因素身份驗證。相反,只要您使用驗證器應用程式或安全金鑰,就可以啟用2FA,而無需連結您寶貴的電話號碼。 ...
... 本文向您展示瞭如何使用接收Facebook確認碼的替代方法登入您的帳戶。 ...
... 當你登入的時候,你會看到一個提示:“真的是你嗎?”?’. 按下拉選單上的A在不同的驗證方法之間切換,然後選擇下一步。 ...
... 當然,微軟並不是第一個有這個想法的人。有很多理由停止使用SMS 2FA,並採用U2F鍵等技術。 ...
...用程式推出了雙因素身份驗證(2FA)。隨著越來越多的人使用Zoom進行影片通話,增加的安全措施讓所有Zoom使用者鬆了一口氣。 ...
使用驗證器應用程式進行雙因素身份驗證(2FA)比簡訊更安全,但如果你換**呢?如果您使用Microsoft Authenticator,下面介紹如何移動您的2FA帳戶。 之前,我們研究過將googleauthenticator中的2FA帳戶移動到新**上。我們發現無法匯出所...