这些天来,似乎您访问过的每个网站都试图鼓励您使用两因素身份验证(2FA)。
使用2FA的最常见方法之一是从您的移动设备。通常,您会在短信中收到代码或使用第三方2FA应用生成一个代码。
由于方便,这两种方法都是使用代码的常用方法。但是,从安全角度来看,这两种方法都还很弱。而且由于您的2FA代码仅与提供该代码所使用的技术一样安全,因此弱点很重要。
那么,使用SMS和第三方应用程序访问您的代码有什么问题?是否有同样方便的替代方法更安全?我们将解释一切。继续阅读以了解更多信息。
双重身份验证的工作原理
让我们花点时间来讨论双重身份验证的工作原理。如果不了解该技术的原理,那么本文的其余部分将毫无意义。
广义上讲,2FA为您的帐户增加了一层额外的安全保护。登录凭据也称为多因素身份验证,它不仅包含密码,还包含只有该帐户的合法所有者才能访问的第二条信息。
2FA有很多不同的形式或您最喜欢的宠物)。在更复杂的一端,它可能是诸如视网膜扫描或指纹之类的生物识别ID。
为什么应避免SMS验证
SMS处于最容易获得的位置访问和使用2FA代码。如果网站提供两因素身份验证登录,则几乎可以肯定地将SMS作为一种选择。
但是SMS不是使用2FA的安全方法。它具有两个关键漏洞。
首先,该技术易受SIM Swap攻击。黑客执行SIM卡交换并不需要很多。如果他们可以访问其他个人信息(例如您的社会安全号码),则他们可以致电您的运营商并将您的号码转移到新的SIM卡上。
第二,黑客可以拦截SMS消息。这一切都回到了现在的7号信令系统(SS7)电话路由系统。该方法于1975年设计,但至今仍在全球范围内用于连接和断开呼叫。
毫不奇怪,自1975年以来,这项技术就充满了安全漏洞。以下是安全专家Bruce Schneier如何描述这些缺陷:
“如果攻击者可以访问SS7门户,他们可以将您的对话转发到在线录音设备,然后将呼叫重新路由到其预定目的地[…]它意味着装备精良的犯罪分子可以在您甚至没有看到它们之前就抓住您的验证消息并使用它们。"
当然,发现网络犯罪分子已经入侵了您的Facebook。
此外,Schneier还声称任何人都可以以大约$ 1,000的价格购买对SS7网络的访问。一旦获得访问权,他们就可以发送路由请求。要解决此问题,网络可能不对请求源进行身份验证。
请记住,通过SMS进行两因素身份验证比禁用2FA更好。而且您很可能不会成为受害者。但是,如果您开始感到有些担忧,则需要继续阅读。许多人都接受SMS是不安全的,而是转而使用第三方应用程序。
但这可能不会更好。
为什么应避免使用2FA应用程序
使用2FA代码的另一种常见方式是安装专用的智能手机应用程序。有很多可供选择。 Google Authenticator可以说是最知名的,但不一定是最好的。还有很多其他选择,例如Authy,Authenticator Plus和Duo。
但是2FA专业应用程序的安全性如何?他们最大的弱点是他们依赖密钥。
让我们退后一步。如果您不知道,则当您首次注册许多应用程序时,需要输入密钥。秘密将在您和应用程序的提供者之间共享。
访问网站时,应用程序创建的代码基于密钥和当前时间的组合。同时,服务器正在使用相同的信息生成代码。这两个代码需要匹配才能授予访问权限。听起来很明智。
那为什么键是弱点呢?好吧,如果网络犯罪分子设法访问公司的密码和机密数据库,会发生什么?每个帐户都将很容易受到攻击,攻击者可以随意进出。
其次,机密信息以纯文本或QR码显示;它不能散列或与盐一起使用。
密钥是专业应用程序使用的基于时间的一次性密码(TOTP)的根本缺陷。这就是为什么使用物理U2F密钥始终是一个更安全的选择的原因。
当然,网络犯罪分子入侵第三方应用程序所需数据库的可能性很小。但是您的应用也可能会遭受设计中的基本安全漏洞的困扰。
流行的密码管理器LastPass在2017年12月成为受害者。一位程序员在Medium上的博客文章显示,无需指纹,密码,或其他安全措施。
解决方法并不复杂。通过访问LastPass Authenticator应用程序的设置活动(com.lastpass.authenticator.activities.SettingsActivity),无需输入任何内容即可进入该应用程序的设置窗格。从那里,您可以按一次返回来访问所有2FA代码。
LastPass现在已修复了该漏洞,但问题仍然存在。根据程序员的说法,他曾试图将这个问题告诉LastPass七个月,但该公司从未解决过。还有多少其他第三方2FA应用程序不安全?开发人员知道多少个未修复的漏洞,但会延迟修补?例如,在失去对Facebook上的代码生成器的访问权限时,也存在一些担忧。
要做什么:使用U2F密钥
而不是依靠SMS和2FA代码,则应使用通用第二因子键(U2F)。它们是生成代码和访问服务的最安全方式。
被广泛认为是2FA的第二代版本,它简化并增强了当前协议。此外,使用U2F密钥几乎与打开SMS消息或第三方应用程序一样方便。
U2F密钥使用NFC或USB连接。首次将设备连接到帐户时,它将生成一个随机数,称为“ Nonce"。Nonce与站点的域名进行哈希运算以创建唯一代码。
此后,您可以通过将U2F密钥连接到设备并等待服务识别它来部署U2F密钥。
那么,不利之处是什么?好吧,即使U2F是开放标准,购买实体U2F密钥仍然要花钱。也许更令人担心的是,您有被盗的风险。
被盗的U2F密钥不会自动使您的帐户不安全;黑客仍然需要知道您的密码。但是在公共场所,小偷可能在偷东西之前已经看到您在远处输入密码。
制造商之间的价格差异很大,但您可以期望支付的价格在15到50美元之间。
理想情况下,您想购买经过“ FIDO认证"的模型。FIDO(快速在线身份认证)联盟负责实现身份验证技术之间的互操作性。成员包括从Google和Microsoft到美国银行和万事达卡的所有人。
通过购买FIDO设备,您可以确保U2F密钥可以与您每天使用的所有服务一起使用。如果您要购买DIGIPASS SecureClick U2F密钥,请查看。
不安全的2FA比没有2FA还要好
总而言之,通用第二因子密钥为您提供了一个快乐的中介。易用性和安全性。 SMS是最不安全的方法,但它也是最方便的方法。
请记住,任何2FA都比没有2FA更好。是的,登录某些应用程序可能需要花费10秒钟的时间,但这比牺牲您的安全性要好。
