安全专家建议尽可能使用双因素身份验证来保护您的在线帐户。许多服务默认短信验证,通过短信发送代码到您的**时,您尝试登录。但是短消息有很多安全问题,并且是最不安全的双因素身份验证选择。
相关:什么是双因素认证,为什么我需要它?
虽然我们将在这里列出针对SMS的案例,但重要的是,我们首先要明确一点:使用SMS比根本不使用双因素身份验证要好。
当您不使用双因素身份验证时,某人只需要您的密码就可以登录到您的帐户。当你在短信息中使用双因素身份验证时,有人需要同时获取你的密码和访问你的短信才能访问你的帐户。短信比什么都没有安全多了。
如果短信是你唯一的选择,请使用短信。但是,如果您想了解为什么安全专家建议避免使用短信息,以及我们建议的方法,请继续阅读。
短信验证的工作原理如下:当你尝试登录时,服务会向你之前提供给他们的**号码发送一条短信。你在**上输入密码,然后登录。那个代码只适合一次使用。
听起来相当安全。毕竟,只有你有你的电话号码,有人必须有你的**才能看到正确的代码?不幸的是,没有。
如果有人知道你的电话号码,并且可以访问个人信息,比如你的社保号码的最后四位数字不幸的是,这很容易找到感谢许多公司和**机构已经泄露了客户数据,他们可以联系你的电话公司,并将你的电话号码移动到一个新的电话。这被称为“SIM卡交换”,与您购买新设备并将电话号码移到其中时执行的过程相同。这个人说他们是你,提供个人资料,你的**公司用你的电话号码设置他们的**。他们会把短信代码发送到你的**号码上。
我们在英国看到过这样的报道,攻击者窃取了受害者的电话号码,并用它进入受害者的银行账户。纽约州也对这一骗局提出了警告。
在其核心,这是一个社会工程攻击,依靠欺骗你的**公司。但是你的**公司不应该在第一时间提供给别人你的安全密码!
也可以窥探短信。持不同政见者和镇压国家的记者将需要小心,因为**可能劫持通过电话网络发送的短信。这种情况在伊朗已经发生,据报道,伊朗黑客通过截取提供访问电报信使账户的短信,破坏了一些电报信使账户。
攻击者还滥用SS7(用于漫游的连接系统)中的问题,截获网络上的短信并将其路由到其他地方。截获信息的方法还有很多,包括使用假**信号塔。短信不是为了安全而设计的,也不应该用于安全。
换句话说,一个有点个人信息的老练的攻击者可以劫持你的电话号码来访问你的在线帐户,然后使用这些帐户来尝试耗尽你的银行帐户,例如。这就是为什么国家标准与技术研究所不再建议使用短信进行双因素认证的原因。
相关:如何设置双因素身份验证的Authy(并在设备之间同步代码)
一个不依赖短信的双因素身份验证方案更为优越,因为**公司将无法让其他人访问你的密码。最流行的选择是像googleauthenticator这样的应用程序。但是,我们推荐Authy,因为它可以完成googleauthenticator所做的一切。
这样的应用程序在您的设备上生成代码。即使攻击者欺骗你的**公司将你的电话号码移到他们的**上,他们也无法获得你的安全代码。生成这些代码所需的数据将在**上保持安全。
相关:如何设置谷歌新的无代码双因素认证
你也不必使用密码。Twitter、Google和Microsoft等服务正在测试基于应用程序的双因素身份验证,通过授权用户在**上登录他们的应用程序,用户可以在另一台设备上登录。
还可以使用物理硬件令牌。像Google和Dropbox这样的大公司已经实施了一个新的基于硬件的双因素身份验证令牌标准U2F。这些都比依赖你的**公司和过时的电话网络更安全。
如果可能,避免使用短信进行双因素身份验证。它总比没有好,而且看起来很方便,但它通常是您可以选择的最不安全的双因素身份验证方案。
不幸的是,有些服务强迫你使用短信。如果你担心这个问题,你可以创建一个谷歌语音电话号码,并将其提供给需要短信认证的服务。然后,您可以登录到您的谷歌帐户,您可以用更安全的双因素身份验证方法保护该帐户,并在谷歌语音网站或应用程序中查看安全消息。只是不要把谷歌语音的信息转发到你的实际**号码上。
...接。 本节将展开。单击“打开”按钮。 您可以选择是使用验证器应用程序为您生成代码,还是使用代码接收SMS(文本)消息。我们强烈建议使用验证器应用程序,因为它更安全,但使用SMS的双因素身份验证仍然比根本不使用...
...自己的计算机上,而不是在别人的或共享的计算机上,才应该这样做。 如果您已将浏览器设置为在关闭浏览器时删除Cookie,则除非您告诉浏览器为Amazon Cookie例外,否则此操作将不起作用。这取决于你是否值得更容易登录的权衡...
看,我们喜欢2FA(双因素认证),希望每个人都能使用它。但基于短信的2FA并不是最好的选择,现在在Facebook上更糟糕,因为一旦启用,人们就可以用你的电话号码找到你。 回到过去,任何人都可以跳转到Facebook上,进行电话号...
...过你的短信验证。大多数目标可能不值得这么多努力。 为什么需要双因素身份验证 双因素身份验证之所以命名为双因素身份验证,是因为它要求您拥有两样东西才能进入您的帐户:您知道的东西(您的密码)和您拥有的东西(...
...,黑客可以访问有问题的文件。这又是一个例子,说明了为什么不应该使用SMS进行双因素身份验证,所以请考虑尽快关闭任何提供替代方案的SMS系统。当然,这很烦人,但如果你想保证你的账户安全,这是值得的。 图片来源:...
...五位数的密码,必须提供当你移植你的号码。我们不知道为什么,但是t-Mobile不允许你在网上这么做,强迫你打电话过来。 Verizon:设置一个四位数的帐户PIN。如果您还没有设置或不记得,您可以在线、在我的Verizon应用程序中或致...
...身份验证选项,如上所示。 相关:什么是双因素认证,为什么我需要它? 您需要设置一个专用的基于时间的双因素身份验证应用程序才能工作。我们推荐Authy,但也支持googleauthenticator和duomobile。不支持基于SMS的双因素身份验证...
...容易记住的。我知道。但他们也是最不安全的。 相关:为什么你应该使用密码管理器,以及如何开始 当然,你的密码越安全,就越难记住。为此,您真的应该使用密码管理器。我已经使用LastPass很多年了,它的每一个密码都被...