在追求完美安全的過程中,完美是善的敵人。在Reddit駭客攻擊之後,人們開始批評基於簡訊的雙因素身份驗證,但是使用基於簡訊的雙因素身份驗證仍然比根本不使用雙因素身份驗證要好得多。
安全專業人士誰談到簡訊驗證不夠好,是太超前了自己。根據谷歌工程師Grzegorz Milka在USENIX Enigma 2018上的報告,超過90%的Gmail使用者根本沒有使用任何雙因素認證。大多數人在網上保護自己的首要方法是為他們的重要帳戶啟用任何型別的雙因素身份驗證。
像這樣想。說你想在前門上安一把鎖來保護你的家。安全專業人士爭論說,最好的鎖比便宜的鎖好得多。當然,有道理。但是,如果你買不到更貴的鎖,那麼擁有一把更便宜的鎖不是比根本沒有鎖更好嗎?
是的,基於應用程式的雙因素身份驗證比基於簡訊的身份驗證更好。但是,如果簡訊只是一種服務,那總比不使用要好。
基於簡訊的雙因素有一些弱點,但這沒有抓住重點。攻擊者將不得不花時間繞過你的簡訊驗證。大多數目標可能不值得這麼多努力。
雙因素身份驗證之所以命名為雙因素身份驗證,是因為它要求您擁有兩樣東西才能進入您的帳戶:您知道的東西(您的密碼)和您擁有的東西(來自移動裝置的附加安全程式碼或物理令牌)。
當您啟用基於SMS的雙因素身份驗證時,每當您從新裝置登入時,該服務將向您的**號碼傳送一條包含一次性程式碼的文字訊息。因此,即使有人擁有你的使用者名稱和密碼,他們也無法登入到你的帳戶而不訪問你的簡訊。
還有其他型別的雙因素方法,包括**上生成臨時安全程式碼的應用程式和必須**計算機的物理安全金鑰。
任何型別的雙因素身份驗證都可以為重要帳戶(如電子郵件、社交媒體和銀行帳戶)提供大量保護。如果您重複使用密碼,則尤其如此。許多人在多個網站重複使用密碼,當一個網站的密碼資料庫洩漏時,該密碼可用於登入其電子郵件帳戶。雙因素認證將阻止這種權利的發展。
這並不意味著你應該重複使用密碼。你不應該重複使用密碼。您應該使用一個好的密碼管理器來跟蹤強、唯一的密碼。
基於SMS的雙因素身份驗證並不理想,因為有人可能竊取您的電話號碼或攔截您的簡訊。例如:
這就是為什麼專家建議使用另一種雙因素方法,這種方法不容易被國家濫用,如果你的**運營商把你的電話號碼給了別人,也不會受到攻擊。如果你從**上的應用程式或你**的物理安全金鑰中獲取程式碼,那麼你的兩個因素就不會受到電話網路問題的影響。攻擊者需要您的解鎖**或您必須登入的物理安全金鑰。
當然,在一個完美的世界裡,簡訊並不是理想的解決方案。我們已經解釋了為什麼安全專家不喜歡基於簡訊的兩步認證。但是,即使我們提出了那個案例,我們也試圖弄清楚一件事:基於簡訊的雙因素身份驗證比什麼都沒有要好得多。
相關:為什麼不應該使用SMS進行雙因素身份驗證(以及使用什麼替代)
目前,普通人對基於簡訊的身份驗證還可以。基於簡訊的身份驗證使得攻擊者要想進入你的賬戶要經歷很多額外的麻煩,當有其他更容易和更有趣的目標存在時,你可能不值得他們的麻煩。大多數人甚至不使用簡訊認證,如果每個人都使用的話,網路將是一個更加安全的地方。
可能成為複雜攻擊者攻擊目標的人應避免基於SMS的身份驗證。例如,如果你是政治家、記者、名人或商界領袖,你可能會成為攻擊目標。如果你是一個能夠訪問敏感企業資料的人,一個能夠深入訪問敏感系統的系統管理員,或者僅僅是一個銀行裡有很多錢的人,那麼簡訊息可能會有太大的風險。
但是,如果你是一個擁有Gmail或Facebook賬戶的普通人,沒有人有理由花大量時間訪問你的賬戶,那麼簡訊認證就可以了,你絕對應該啟用它,而不是什麼都不使用。
這是另一個不幸的事實,每個人似乎都在掩蓋:即使你避免了基於簡訊的雙因素身份驗證的帳戶,簡訊可能是作為一個後備方法。例如,即使你用一個應用程式生成程式碼來登入你的Google帳戶,你也可以用你的電話號碼恢復你的帳戶。這是為了保護你,如果你曾經失去訪問你的雙因素電話或令牌。
換言之,許多甚至大多數服務都允許您使用**號碼進入您的帳戶,即使您大部分時間都使用應用程式生成的程式碼或物理安全金鑰。你只不過是系統中最薄弱的環節。如果沒有正常的登入方法,請嘗試檢查其他登入方法。
這就是為什麼,要真正鎖定一個谷歌帳戶,你不需要僅僅避免基於簡訊的兩步認證。你還需要加入谷歌的高階保護計劃,這是谷歌為“記者、活動家、商業領袖和政治競選團隊”做的廣告。這個免費計劃要求你使用物理安全金鑰登入,但它也需要更多的資訊來恢復你的帳戶。
我們不想讓你陷入一種虛假的安全感:如果你是某個可能成為外國**、企業間諜或有組織犯罪分子目標的人,你絕對應該避免基於簡訊的雙因素身份驗證,並用更安全的東西鎖定你的帳戶。
但是,如果你是一個還沒有啟用雙因素身份驗證的普通人,不要被勸阻:基於簡訊的雙因素身份驗證會讓你比沒有雙因素身份驗證更安全。這是一個重要的安全底線。
每個人都應該使用簡訊驗證,除非他們使用更好的。
圖片來源:golubovystock/Shutterstock.com網站.
...,您仍然可以使用兩步驗證,這依賴於傳送到電話號碼的簡訊。要了解更多資訊並啟用它,請訪問Apple的支援頁面。 ...
...證明你身上有某種物理裝置,系統就會接受你。示例包括簡訊程式碼、身份驗證應用程式、USB金鑰、無線標籤、讀卡器等。 內在因素(“你是什麼”):系統透過使用生物特徵比較來接受你。例如指紋掃描器、視...
...的網站。您可以按類別瀏覽,也可以使用搜索欄。它透過簡訊、電子郵件、電話或其他應用程式顯示每個站點的輔助密碼令牌方法。單擊要直接獲取的站點名稱以啟用2FA。 ...
...虧了即時通訊應用,你可能不會經常在**上使用普通的舊簡訊。像WhatsApp和Telegram這樣的信使速度更快、更可靠,而且還有簡訊所缺乏的許多其他現代功能。 ...
... 我們選擇了簡訊選項,輸入了Facebook發簡訊給我們**號碼的6位數程式碼。 ...
... 那麼,使用簡訊和第三方應用程式訪問你的程式碼有什麼問題?有沒有一個同樣方便、更安全的替代方案?我們要解釋一切。繼續閱讀了解更多。 ...
...移到另一部**上,竊取你的電話號碼。然後他們會收到**簡訊傳送的安全程式碼,幫助他們進入你的銀行賬戶和其他安全服務。 什麼是騙局(a port out scam)? “外埠詐騙”是整個**行業的一大難題。在這個騙局中,一個罪犯假扮成...
...試圖登入的任何網站)都會向你的**傳送一條帶有密碼的簡訊,確保它真的是你。您還可以使用Authy或googleauthenticator等特殊應用程式,在登入時在**上輸入特殊程式碼。不幸的是,簡訊雙因素是不太安全的非簡訊類,但任何兩個...
...的U2F金鑰是小型USB裝置。要登入,您無需輸入應用程式或簡訊提供的身份驗證碼,只需**USB安全金鑰並按一個按鈕即可。 這個標準正在形成,所以目前只有Chrome、Firefox和Opera支援它,還有一些大的服務:Google、Facebook、Dropbox和Git...
...(或固定電話)號碼。他們可以給你發一條帶有恢復碼的簡訊(或語音電話),你可以用它來覆蓋兩步身份驗證,如果你不能以通常的方式訪問你的帳戶,就可以重新訪問你的帳戶。 一定要檢查你連結到帳戶的電話號碼。如果...