近年来,黑客入侵网络用户账号,已经不是什么稀奇的事情了,甚至包括雅虎、Facebook、Instagram也难逃黑客的魔抓。双因素认证机制也在这样的环境中被更多的平台列为“标配”,目前被认为是最安全的认证机制。
区别于常规的用户登陆ID+密码的形式,双因素认证机制更能认证用户的身份鉴别,背后所运用的理论是:要进行登录,用户必须知道某项内容并掌握它。
第一种形式通常是密码。第二种形式可以是任意认证,例如短信或电子邮件验证码。
然而,安全专家上周四表示,近期针对美国政府官员、活动家和记者的网络钓鱼活动日益猖獗,犯罪分子利用技术手段绕过了被Gmail和Yahoo Mail广泛使用的双因素认证保护系统(2FA)。这也意味着,这道被称为“数据库安全的第一道防线”的双因素认证机制中,基于SMS短信的防护已经被攻破!
此次钓鱼攻击事件再次表明依赖单次登陆或者一次性密码的2FA同样存在风险,尤其是通过SMS短信发送至用户手机的情况。
安全公司CertfaLab的研究人员在一篇博客文章中表示,有伊朗政府背景的黑客攻击者收集了攻击目标的详细信息,并利用了这些信息撰写了针对这些目标的钓鱼网络邮件。这些邮件中包含一张隐藏照片,在攻击目标浏览该信息的时候就会自动激活。
用户在虚假的Gmail或者Yahoo安全页面输入密码之后,攻击者几乎会根据输入凭证转向到真实的登陆页面。如果目标帐户受到2fa的保护,则攻击者会将目标重定向到请求一次性密码的新页面。
CertfaLab的研究人员写道:“换句话说,他们会在自己的服务器上实时检查受害者的用户名称和密码。而且即使启用了例如短信、认证APP或者一键式登陆的双因素认证,仍然能够欺骗目标并窃取这些信息。”
在一封邮件中, Certfa Lab发言人称公司研究人员已经证实该技术能够成功入侵基于SMS短信双因素保护的账号。研究人员目前无法确认这项技术能否通过GoogleAuthenticator或者Duo Security配套APP中传输一次性密码。
既然基于SMS短信的双因素保护已经失效,那么还有哪些形式的双因素保护可以供服务商和用户选择呢?
最常见的双重认证是向手机或电子邮件帐户发送验证码,或者将U盘与密码一起用于VPN访问。此外,还有钥匙串验证码生成器,例如RSA的SecureID,它一般用于企业环境。目前,这些是主流形式的双重认证。
交易验证码(TAN)是略有些过时的第二重认证形式,在欧洲很流行,此类验证的过程如下:银行会向你提供一张交易验证码表(印在纸上),每次进行网上交易时,都应输入其中一个验证码以进行验证。
ATM机所使用的另一种老式双重认证形式。必须同时拥有借记卡和知道PIN密码,方能取现。
除此之外,还有利用生物特征识别技术的双重认证。有些系统要求提供密码和指纹、虹膜扫描、心跳或其他一些生物手段。可穿戴设备的发展势头也逐渐增大,一些系统要求佩戴内嵌某种无线射频芯片的特殊手链或其他配饰。
很多服务商推出了手机应用专用密码生成器,例如Google和Facebook,支持用户生成一次性密码,取代短信或电子邮件验证码。
虽然双重认证不能保证帐户万无一失,但无论谁想入侵受双重认证保护的帐户,它都会是一个难以逾越的障碍。
如果相关服务提供了双重认证,并且你认为帐户非常重要,则建议启用双重认证。例如:网银、主次电子邮件(尤其是如果具有专用帐户恢复电子邮件地址)、重要的社交网络,还有AppleID或iCloud,或者任何用于控制安卓设备的帐户,都应该通过第二重认证进行保护。
你觉得哪一种认证模式会受到服务商和用户的青睐呢?欢迎在下方留言和我们分享你的观点~
来源:
cnBeta.COM
kaspersky
- End -
往期热门资讯:
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com
扫一扫
4592
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
