1. 首頁 > 生活經驗 > >

科技要聞:SMS兩因素身份驗證不安全-改用這些

知識經驗


科技要聞:SMS兩因素身份驗證不安全-改用這些

文章插圖
互聯網在提高人們社會活動質量的同時可能對部分互聯網使用者造成傷害 。我們要正確認識網絡的兩面性,用其所長、避其所短 , 發揮網絡對生活的積極促進作用 。把網絡作為生活的補充就可以享受網絡的諸多益處,接下來這篇文章給大家說說互聯網科技的正能量 。
Google的Titan安全密鑰的發現使人們關注了一個已存在但未被廣泛采納的技術:物理密鑰為您的數字生活打開了大門 。兼容FIDO的安全密鑰,看起來很奇怪,只是解決數字安全最大威脅之一的最新嘗試:密碼 。但是,盡管雙重身份驗證終于獲得了一定的吸引力,但由于采納了強制執行的服務,因此不幸的是,它們使用的是最不安全的媒介:短信 。
“ 周某某456”和“ password”
似乎人類在保守秘密和記住他們離開鑰匙的地方自然是可怕的 。這些特質是物理世界的弱點 , 也滲入了我們的數字生活 。一方面,當最強的密碼必須是幾乎無法記住的字母和數字字符串時,您能責怪誰?將其乘以您擁有的帳戶數量,就可以看到密碼治理器在何處開展業務 。
我們不是強迫人們學習更好的密碼習慣(幾十年來向來沒有成功),而是學會了使用技術對問題進行創可貼 。這就是兩因素身份驗證或2FA誕生的方式,它使用了所有人都可以立即使用的通信渠道,而這恰恰是最不安全的 。
最低公分母
如今,大多數兩因素身份驗證通過SMS發送一次PIN(OTP)來驗證登錄嘗試 。根據網絡質量,它是快速,簡便的 , 并且每個擁有電話的人都可以使用它 。它甚至不必是智能手機,只需具有短信功能的一般 電話就足夠了 。真是不解為什么它是最常見的2FA方法 。
但是,SMS是在加密之類的東西尚未真正普及的時代誕生的,即使它們已經存在 。SMS的構建旨在為新興網絡的實施和支持提供快速便捷的支持 。不幸的是,它從未超過這些限制,并且至今,它仍然是廣泛使用的最易受攻擊的協議 。
但是忘了中間人的攻擊和監聽 。令人信服的黑客實際上可以欺騙運營商,讓他們訪問您的電話號碼或SIM卡 。直到最近 , 運營商才明智地制定了這一戰略,并開始更加慎重 。但是到那時 , 已經為時已晚 。SMS 2FA已成為一種規范,就像擁有一把鑰匙,但是將該鑰匙放在任何人都可以看到的地方 。
身份驗證應用
這也是科技行業試圖推動另一種2FA方法:應用程序的原因 。毫不奇怪,Google處于這一趨勢的最前沿,但如果您對它的信任度不足,那么仍然可以選擇很多身份驗證器應用程序,例如Microsoft Authenticator(確定,也許不是更好的選擇),Authy,LastPass和1密碼,僅舉幾例 。這些應用程序不與特定的電話號碼綁定,也不使用不安全的SMS通道 。
固然 , 這里有一些不便之處 。最大的問題是它確實需要您擁有智能手機,尤其是Android或iOS 。固然,任何智能手機都可以 , 而且如今幾乎每個人都擁有一部 。它們也從表面綁定到設備 。如果丟失該設備或卸載該應用程序,則可能會失去對使用此2FA方法的帳戶的訪問權限 。固然,它們通常會為您提供“恢復碼”或具有備用選項(通常是電子郵件 , 甚至是SMS) 。自然 , 它比SMS難 , 但確實如此 。
安全金鑰
【科技要聞:SMS兩因素身份驗證不安全-改用這些】這也部分是具有安全密鑰這一相對較新的趨勢的原因 。具有諷刺意味的是,即使是完全數字鎖,我們又回到使用物理鍵 。安全密鑰大部分不需要身份驗證器應用程序 , 而僅需要密鑰本身,或者(為了提供更多保護)指紋也需要 。
固然,考慮到人們傾向于丟失鑰匙 , 這幾乎是誘人的命運 。幸運的是 , 在使舊密鑰無效的同時,對其進行編程很容易 。企業客戶也喜歡它,因為它使他們對誰可以訪問什么有更多的操縱權,而治理員只喜歡被操縱 。
當心社交駭客
這兩種2FA方法 , SMS,應用程序和硬件密鑰證明了在確保我們的數字生活安全方面日益復雜 。但是,它們都是解決實際問題的創可貼 。更好的創可貼,但仍只是暫時解決方法 。它們可以保護帳戶和文件免受技術攻擊,但事實證明它們不足以抵御所有最嚴峻的攻擊:社交黑客 。
將其稱為社會工程,網絡釣魚或僅是簡單的限制,社會黑客攻擊就是安全鏈中最薄弱的環節 。固然,您不太可能簡單地將物理密鑰交給完整的陌生人,但是好的社交黑客只需要觀察目標即可發現自己的弱點和習慣 。畢竟,我們是習慣的造物,不幸的是 , 我們共同養成了可以想象的最壞的安全習慣 。