环球门户网

短信双因素身份验证不安全-请改用这些

更新时间:2021-09-17 00:10:54

导读 Google Titan安全密钥的发现,让人们关注到了一项已经存在但并未被广泛采用的技术:物理密钥开启了你数字生活的大门。与FIDO兼容的安全

Google Titan安全密钥的发现,让人们关注到了一项已经存在但并未被广泛采用的技术:物理密钥开启了你数字生活的大门。与FIDO兼容的安全密钥,看似奇怪,其实只是解决数字安全最大威胁之一:密码的最新尝试。然而,虽然双因素认证最终获得了一定的吸引力,但由于强制服务,不幸的是,他们使用了最不安全的介质:短信。

“123456”和“密码”

人类保守秘密,还记得把钥匙放在哪里,似乎很可怕。这些特征是物理世界的弱点,也渗透到我们的数字生活中。一方面,当最强的密码必须是一串几乎记不住的字母和数字时,你能怪谁呢?将其乘以您必须查看密码管理器业务所在的帐户数量。

我们没有强迫人们学习更好的密码习惯(几十年来一直没有成功),而是学会了使用技术来解决邦迪问题。双因素认证,或者说2FA,就是这样诞生的。它使用了一个所有人都可以立即使用的沟通渠道,这是最不安全的。

最小公分母

如今,大多数双因素身份验证使用短信发送一次个人识别码来验证登录尝试。根据网络的质量,它又快又简单,每个拥有电话的人都可以使用它。它甚至不一定是智能手机,只要一部带短信功能的普通手机就够了。真不明白为什么是最常见的2FA法。

然而,短信诞生于一个加密之类的东西并不真正流行的时代,尽管它们已经存在。短信的目的是为新兴网络的实施和支持提供快速便捷的支持。不幸的是,它从未超过这些限制,它仍然是广泛使用的最脆弱的协议。

但是忘记中间人的攻击和拦截。说服黑客实际上可以欺骗运营商访问您的电话号码或SIM卡。直到最近,运营商明智地制定了这一策略,并开始更加谨慎。但是到那个时候,已经太晚了。短信2FA已经成为一个标准,就像有钥匙一样,但是把钥匙放在任何人都能看到的地方。

认证应用。

这就是为什么科技行业试图推广另一种2FA方法:应用。不出意外的话,谷歌走在了这一趋势的前列,但如果你对它不够信任,还是可以选择很多认证器应用,比如微软的Authy(当然,也许不是更好的选择)、Authy、LastPass和1 pass等,这只是其中的几个例子。这些应用程序不绑定特定的电话号码,也不使用不安全的短信通道。

当然,这里也有一些不便。最大的问题是它确实需要你有智能手机,尤其是安卓或者iOS。当然,任何智能手机都可以,现在几乎每个人都拥有一部。它们也从表面绑定到设备。如果您丢失了设备或卸载了应用程序,您可能无法访问使用此2FA方法的帐户。当然,他们通常会为您提供一个“恢复代码”或有替代选项(通常是电子邮件甚至短信)。自然比短信难,但确实是。

安全密钥

这是拥有安全密钥这一相对较新趋势的部分原因。具有讽刺意味的是,即使它是一把完整的数字锁,我们还是回到了使用物理钥匙。大多数安全密钥不需要验证器应用程序,而只需要密钥本身,或者(为了提供更多保护)指纹。

当然,考虑到人们往往会丢失钥匙,这几乎是一种诱人的命运。幸运的是,在使旧密钥无效的同时对其进行编程是很容易的。企业也喜欢它,因为它让他们可以更好地控制谁可以访问什么,而管理员只喜欢被控制。

警惕社交黑客。

短信、应用、硬件密钥这两种2FA方式,在保障我们数字生活安全方面,已经被证明越来越复杂。然而,它们都是解决实际问题的创可贴。更好的创可贴,但仍然只是暂时的解决办法。它们可以保护账户和文件免受技术攻击,但事实证明,它们不足以抵御所有最严重的攻击:社交黑客。

称之为社会工程、网络钓鱼或仅仅是一个简单的限制,而社交黑客是安全链中最薄弱的一环。当然,你不太可能简单地把物理钥匙交给一个完全陌生的人,但是一个好的社交黑客只需要观察目标就能发现他的弱点和习惯。毕竟,我们是习惯的产物。不幸的是,我们一起养成了最糟糕的安全习惯。

版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。