双因素身份验证(2FA)变得越来越普遍,但有一位读者指出,它似乎很容易绕过它的保护。他是对的吗?安全专家Max Eddy看一看。
本周,我正在挖掘我无底的邮袋,以解决另一个关于双因素身份验证的问题(2FA)。这是我之前提到的一个主题,但从我收到的关于它的问题的数量和特殊性来看,这显然是许多人正在考虑的问题。由于我认为2FA可能是常规人员为保持网络安全而做的最好的事情,我非常乐意无休止地谈论它。
今天的问题来自泰德,他写了一篇关于2FA系统是否真的全部被解决的文章。请注意,为简洁起见,Ted的信件已经过编辑。Ted在2FA上引用了我的另一篇文章,开始了他的信息。
您写道:“一旦您注册了安全密钥,短信密码将成为备用选项,以防您丢失或无法访问密钥。” 如果这是真的,那么为什么这个设备比2FA SMS代码更安全?正如你还写道,“但手机可能会被盗,SIM卡顶起显然是我们现在需要担心的事情。”
什么阻止某人告诉谷歌他们是你,丢失了安全密钥并需要将短信代码发送到你的被盗/升级手机?如果我正确理解这一点,那么这个设备不比2FA SMS文本更安全。这是更方便,这是肯定的,但我没有看到它是如何更安全。
所有这一切的结果是安全密钥会增加您的安全性,但这只是因为您更有可能使用它,而不是因为它本身比2FA更安全?我错过了什么?
你没有错过任何东西,特德。实际上,您很聪明地了解了围绕在线身份验证的许多安全性所基本的基本问题:您如何安全地验证人员,而不会让他们无法恢复帐户?
2FA基础知识
我们首先介绍一些基础知识。双因素身份验证(2FA)是一种安全概念,您需要从可能的三个列表中提供两个明,称为因子。
你知道的东西,比如密码。
你有的东西,比如电话。
你是什么东西,比如你的指纹。
实际上,2FA通常意味着您在输入密码登录网站或服务后再做的第二件事。密码是第一个因素,第二个可能是使用特殊代码发送到手机的SMS消息,或者是在iPhone上使用Apple的FaceID。这个想法是,虽然密码可能被猜到或被盗,但攻击者不太可能同时获得您的密码和第二个因素。
在他的信中,特德特别询问硬件2FA密钥。Yubico的YubiKey系列可能是最知名的选择,但它远非唯一的选择。Google拥有自己的Titan Security密钥,Nitrokey提供了一个开源密钥,仅举两个。
实际陷阱
没有安全系统是完美的,2FA也不例外。Google帐户安全团队的产品管理负责人Guemmy Kim正确地指出,我们依赖帐户恢复和2FA的许多系统都容易受到网络钓鱼攻击。这是坏人使用虚假网站诱骗您输入私人信息的地方。
SecurityWatch聪明的攻击者可能会使用远程访问特洛伊木马感染您的手机,以便他们查看甚至拦截发送到您设备的短信验证码。或者他们可以创建一个令人信服的网上诱骗页面,诱使您输入从Google身份验证器等应用程序生成的一次性代码。甚至我的纸质备份代码的选择也可能被网络钓鱼网站截获,该网站欺骗我输入代码。
最奇特的攻击之一是SIM卡顶,攻击者克隆您的SIM卡或欺骗您的电话公司取消注册您的SIM卡,以拦截您的短信。在这种情况下,攻击者可以非常有效地冒充您,因为他们可以将您的电话号码用作自己的电话号码。
一种不那么奇特的攻击是普通的旧损失和盗窃。如果您的手机或手机上的应用程序是您的主要身份验证器,并且您丢失了它,那将是一个令人头痛的问题。硬件密钥也是如此。尽管像Yubico YubiKey这样的硬件安全密钥很难破解,但它们很容易丢失。