您的位置: 首頁 >互聯(lián)網 >

雙因素身份驗證并不像您預期的那樣安全

2020-03-30 09:01:13 編輯: 來源:
導讀 您可能已經聽到這個安全建議:使用雙因素身份驗證來保護您的帳戶。 如果你把一個密碼與一個通過短信發(fā)送的代碼或一個像GoogleAuthenticator這樣的應用程序生成的代碼配對,你會讓黑客的生活變得艱難,所以推理是這樣的。 問題是:它可以很容易地繞過。 問問Twitter首席執(zhí)行官杰克·多爾西。 黑客通過SIM交換攻擊獲得了對多爾西T witter帳戶的訪問,這種攻擊包括欺騙運營商將移動服務

您可能已經聽到這個安全建議:使用雙因素身份驗證來保護您的帳戶。 如果你把一個密碼與一個通過短信發(fā)送的代碼或一個像GoogleAuthenticator這樣的應用程序生成的代碼配對,你會讓黑客的生活變得艱難,所以推理是這樣的。

問題是:它可以很容易地繞過。 問問Twitter首席執(zhí)行官杰克·多爾西。 黑客通過SIM交換攻擊獲得了對多爾西T witter帳戶的訪問,這種攻擊包括欺騙運營商將移動服務轉換為新手機。

要了解更廣泛的情況,請查看CNET本周關于密碼問題的報道,以及一些解決方案,如硬件安全密鑰,您可以開始使用今天。

呆在知情的地方。 每個工作日從CNET新聞獲得最新的技術故事。

銀行、社交網絡和其他在線服務正在轉向雙因素認證,以阻止大量黑客和數據竊。 超過5.55億個密碼已通過數據漏洞暴露。 即使你的密碼不在名單上,我們很多人重復使用密碼,甚至是所謂的黑客,這意味著你可能比你想象的更容易受到傷害。

別誤會我。 雙因素認證是有幫助的.. 這是一個被稱為多因素認證的更廣泛的方法的重要組成部分,它使登錄更麻煩,但也使它更安全。 就像名字所暗示的那樣,這種技術依賴于結合體現(xiàn)不同品質的多種因素。 例如,密碼是你知道的,安全密鑰是你擁有的。 指紋或面部掃描只是你的一部分。

但是,基于代碼的雙因素身份驗證并沒有像您希望的那樣提高安全性。 這是因為代碼只是你知道的東西,就像你的密碼,即使它的保質期很短。 如果它被偷了,你的保安也是。

黑客可以創(chuàng)建假網站來攔截您的信息,例如使用名為Modlishka的軟件,該軟件由一位安全研究人員編寫,該研究人員希望展示易受攻擊的網站有多嚴重。 它使黑客程序自動化,但沒有什么能阻止攻擊者編寫或使用其他工具。

以下是攻擊的原理。 電子郵件或短信引誘你到假網站,黑客可以自動從原件實時復制,以創(chuàng)造令人信服的假貨。 在那里,您鍵入登錄詳細信息和通過SMS或身份驗證應用程序獲得的代碼。 然后黑客將這些細節(jié)輸入到真實的網站,以訪問您的帳戶。

然后是SIM交換攻擊,得到了Twitter的多爾西。 黑客冒充你,說服Verizon或AT&;T等運營商的員工將你的電話服務切換到黑客的電話上。 每個手機都有一個離散的芯片,一個用戶身份模塊,或SIM,可以將它識別到網絡上。 通過將您的帳戶移動到黑客的SIM卡,黑客可以讀取您的消息,包括您通過短信發(fā)送的所有身份驗證代碼。

不要僅僅因為它不完美就放棄雙因素認證。 它仍然比一個單獨的密碼要好得多,并且更能抵抗大規(guī)模的黑客攻擊。 但絕對要考慮對敏感賬戶加強保護,比如硬件安全密鑰。 Face book、谷歌、Twitter、Dropbox、GitHub、微軟和其他公司今天都支持這項技術。


免責聲明:本文由用戶上傳,如有侵權請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經網.復制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯(lián)網 版權歸原作者所有。