短信双因素认证不是完美的,但你仍然应该使用它
在追求完美安全的过程中,完美是善的敌人。在Reddit黑客攻击之后,人们开始批评基于短信的双因素身份验证,但是使用基于短信的双因素身份验证仍然比根本不使用双因素身份验证要好得多。
超过90%的gmail用户没有使用双因素身份验证
安全专业人士谁谈到短信验证不够好,是太超前了自己。根据谷歌工程师Grzegorz Milka在USENIX Enigma 2018上的报告,超过90%的Gmail用户根本没有使用任何双因素认证。大多数人在网上保护自己的首要方法是为他们的重要帐户启用任何类型的双因素身份验证。
像这样想。说你想在前门上安一把锁来保护你的家。安全专业人士争论说,最好的锁比便宜的锁好得多。当然,有道理。但是,如果你买不到更贵的锁,那么拥有一把更便宜的锁不是比根本没有锁更好吗?
是的,基于应用程序的双因素身份验证比基于短信的身份验证更好。但是,如果短信只是一种服务,那总比不使用要好。
基于短信的双因素有一些弱点,但这没有抓住重点。攻击者将不得不花时间绕过你的短信验证。大多数目标可能不值得这么多努力。
为什么需要双因素身份验证
双因素身份验证之所以命名为双因素身份验证,是因为它要求您拥有两样东西才能进入您的帐户:您知道的东西(您的密码)和您拥有的东西(来自移动设备的附加安全代码或物理令牌)。
当您启用基于SMS的双因素身份验证时,每当您从新设备登录时,该服务将向您的**号码发送一条包含一次性代码的文本消息。因此,即使有人拥有你的用户名和密码,他们也无法登录到你的帐户而不访问你的短信。
还有其他类型的双因素方法,包括**上生成临时安全代码的应用程序和必须**计算机的物理安全密钥。
任何类型的双因素身份验证都可以为重要帐户(如电子邮件、社交媒体和银行帐户)提供大量保护。如果您重复使用密码,则尤其如此。许多人在多个网站重复使用密码,当一个网站的密码数据库泄漏时,该密码可用于登录其电子邮件帐户。双因素认证将阻止这种权利的发展。
这并不意味着你应该重复使用密码。你不应该重复使用密码。您应该使用一个好的密码管理器来跟踪强、唯一的密码。
为什么人们说短信认证不好?
基于SMS的双因素身份验证并不理想,因为有人可能窃取您的电话号码或拦截您的短信。例如:
- 在电话号码移植骗局中,攻击者可以模拟您并将您的电话号码移动到新电话。这是最可能的攻击。
- 攻击者可以截获针对您的短信。例如,他们可以欺骗你附近的**发射塔,或者**可以利用其对**网络的访问来转发信息。
这就是为什么专家建议使用另一种双因素方法,这种方法不容易被国家滥用,如果你的**运营商把你的电话号码给了别人,也不会受到攻击。如果你从**上的应用程序或你**的物理安全密钥中获取代码,那么你的两个因素就不会受到电话网络问题的影响。攻击者需要您的解锁**或您必须登录的物理安全密钥。
当然,在一个完美的世界里,短信并不是理想的解决方案。我们已经解释了为什么安全专家不喜欢基于短信的两步认证。但是,即使我们提出了那个案例,我们也试图弄清楚一件事:基于短信的双因素身份验证比什么都没有要好得多。
相关:为什么不应该使用SMS进行双因素身份验证(以及使用什么替代)
有些人需要比短信提供更多的安全性
目前,普通人对基于短信的身份验证还可以。基于短信的身份验证使得攻击者要想进入你的账户要经历很多额外的麻烦,当有其他更容易和更有趣的目标存在时,你可能不值得他们的麻烦。大多数人甚至不使用短信认证,如果每个人都使用的话,网络将是一个更加安全的地方。
可能成为复杂攻击者攻击目标的人应避免基于SMS的身份验证。例如,如果你是政治家、记者、名人或商界领袖,你可能会成为攻击目标。如果你是一个能够访问敏感企业数据的人,一个能够深入访问敏感系统的系统管理员,或者仅仅是一个银行里有很多钱的人,那么短信息可能会有太大的风险。
但是,如果你是一个拥有Gmail或Facebook账户的普通人,没有人有理由花大量时间访问你的账户,那么短信认证就可以了,你绝对应该启用它,而不是什么都不使用。
你只会像最薄弱的环节一样安全
这是另一个不幸的事实,每个人似乎都在掩盖:即使你避免了基于短信的双因素身份验证的帐户,短信可能是作为一个后备方法。例如,即使你用一个应用程序生成代码来登录你的Google帐户,你也可以用你的电话号码恢复你的帐户。这是为了保护你,如果你曾经失去访问你的双因素电话或令牌。
换言之,许多甚至大多数服务都允许您使用**号码进入您的帐户,即使您大部分时间都使用应用程序生成的代码或物理安全密钥。你只不过是系统中最薄弱的环节。如果没有正常的登录方法,请尝试检查其他登录方法。
这就是为什么,要真正锁定一个谷歌帐户,你不需要仅仅避免基于短信的两步认证。你还需要加入谷歌的高级保护计划,这是谷歌为“记者、活动家、商业领袖和政治竞选团队”做的广告。这个免费计划要求你使用物理安全密钥登录,但它也需要更多的信息来恢复你的帐户。
如果您现在不使用2fa,请使用短信
我们不想让你陷入一种虚假的安全感:如果你是某个可能成为外国**、企业间谍或有组织犯罪分子目标的人,你绝对应该避免基于短信的双因素身份验证,并用更安全的东西锁定你的帐户。
但是,如果你是一个还没有启用双因素身份验证的普通人,不要被劝阻:基于短信的双因素身份验证会让你比没有双因素身份验证更安全。这是一个重要的安全底线。
每个人都应该使用短信验证,除非他们使用更好的。
图片来源:golubovystock/Shutterstock.com网站.
- 发表于 2021-04-05 02:37
- 阅读 ( 174 )
- 分类:互联网
你可能感兴趣的文章
如何为云备份服务启用双因素身份验证
...,您仍然可以使用两步验证,这依赖于发送到电话号码的短信。要了解更多信息并启用它,请访问Apple的支持页面。 ...
3双因素认证的风险和缺点
...证明你身上有某种物理设备,系统就会接受你。示例包括短信代码、身份验证应用程序、USB密钥、无线标签、读卡器等。 内在因素(“你是什么”):系统通过使用生物特征比较来接受你。例如指纹扫描仪、视网...
您是否已采取以下5个步骤来保护您的在线帐户?
...的网站。您可以按类别浏览,也可以使用搜索栏。它通过短信、电子邮件、电话或其他应用程序显示每个站点的辅助密码令牌方法。单击要直接获取的站点名称以启用2FA。 ...
让短信再次有用:7个巧妙使用短信的服务
...亏了即时通讯应用,你可能不会经常在**上使用普通的旧短信。像WhatsApp和Telegram这样的信使速度更快、更可靠,而且还有短信所缺乏的许多其他现代功能。 ...
是时候停止使用短信和2fa应用程序进行双因素身份验证了
... 那么,使用短信和第三方应用程序访问你的代码有什么问题?有没有一个同样方便、更安全的替代方案?我们要解释一切。继续阅读了解更多。 ...
facebook升级了双因素认证:以下是如何设置
...试图登录的任何网站)都会向你的**发送一条带有密码的短信,确保它真的是你。您还可以使用Authy或googleauthenticator等特殊应用程序,在登录时在**上输入特殊代码。不幸的是,短信双因素是不太安全的非短信类,但任何两个因...
如何使用u2f密钥或Yubkey来确保您的帐户安全
...的U2F密钥是小型USB设备。要登录,您无需输入应用程序或短信提供的身份验证码,只需**USB安全密钥并按一个按钮即可。 这个标准正在形成,所以目前只有Chrome、Firefox和Opera支持它,还有一些大的服务:Google、Facebook、Dropbox和Git...
如何避免在使用双因素身份验证时被锁定
...(或固定电话)号码。他们可以给你发一条带有恢复码的短信(或语音电话),你可以用它来覆盖两步身份验证,如果你不能以通常的方式访问你的帐户,就可以重新访问你的帐户。 一定要检查你链接到帐户的电话号码。如果...
如何在steam中添加双因素认证
...电话号码。轻触add phone[添加电话] 你应该马上收到一条短信。在下一个屏幕中输入内的代码,然后点击“提交” 在下一个屏幕上,您将看到一个恢复代码。这与您每次登录Steam时在计算机上收到的代码是分开的:如果您丢失了*...
为什么不应该使用sms进行双因素身份验证(以及使用什么替代)
...使用双因素身份验证来保护您的在线帐户。许多服务默认短信验证,通过短信发送代码到您的**时,您尝试登录。但是短消息有很多安全问题,并且是最不安全的双因素身份验证选择。 第一件事:短信仍然比没有两个因素的认...
0 篇文章
