為什麼不應該使用sms進行雙因素身份驗證(以及使用什麼替代)
安全專家建議儘可能使用雙因素身份驗證來保護您的線上帳戶。許多服務預設簡訊驗證,透過簡訊傳送程式碼到您的**時,您嘗試登入。但是短訊息有很多安全問題,並且是最不安全的雙因素身份驗證選擇。
第一件事:簡訊仍然比沒有兩個因素的認證更好!
相關:什麼是雙因素認證,為什麼我需要它?
雖然我們將在這裡列出針對SMS的案例,但重要的是,我們首先要明確一點:使用SMS比根本不使用雙因素身份驗證要好。
當您不使用雙因素身份驗證時,某人只需要您的密碼就可以登入到您的帳戶。當你在簡訊息中使用雙因素身份驗證時,有人需要同時獲取你的密碼和訪問你的簡訊才能訪問你的帳戶。簡訊比什麼都沒有安全多了。
如果簡訊是你唯一的選擇,請使用簡訊。但是,如果您想了解為什麼安全專家建議避免使用簡訊息,以及我們建議的方法,請繼續閱讀。
sim卡交換允許攻擊者竊取你的電話號碼
簡訊驗證的工作原理如下:當你嘗試登入時,服務會向你之前提供給他們的**號碼傳送一條簡訊。你在**上輸入密碼,然後登入。那個程式碼只適合一次使用。
聽起來相當安全。畢竟,只有你有你的電話號碼,有人必須有你的**才能看到正確的程式碼?不幸的是,沒有。
如果有人知道你的電話號碼,並且可以訪問個人資訊,比如你的社保號碼的最後四位數字不幸的是,這很容易找到感謝許多公司和**機構已經洩露了客戶資料,他們可以聯絡你的電話公司,並將你的電話號碼移動到一個新的電話。這被稱為“SIM卡交換”,與您購買新裝置並將電話號碼移到其中時執行的過程相同。這個人說他們是你,提供個人資料,你的**公司用你的電話號碼設定他們的**。他們會把簡訊程式碼傳送到你的**號碼上。
我們在英國看到過這樣的報道,攻擊者竊取了受害者的電話號碼,並用它進入受害者的銀行賬戶。紐約州也對這一騙局提出了警告。
在其核心,這是一個社會工程攻擊,依靠欺騙你的**公司。但是你的**公司不應該在第一時間提供給別人你的安全密碼!
簡訊可以透過多種方式被截獲
也可以窺探簡訊。持不同政見者和鎮壓國家的記者將需要小心,因為**可能劫持透過電話網路傳送的簡訊。這種情況在伊朗已經發生,據報道,伊朗駭客透過擷取提供訪問電報信使賬戶的簡訊,破壞了一些電報信使賬戶。
攻擊者還濫用SS7(用於漫遊的連線系統)中的問題,截獲網路上的簡訊並將其路由到其他地方。截獲資訊的方法還有很多,包括使用假**訊號塔。簡訊不是為了安全而設計的,也不應該用於安全。
換句話說,一個有點個人資訊的老練的攻擊者可以劫持你的電話號碼來訪問你的線上帳戶,然後使用這些帳戶來嘗試耗盡你的銀行帳戶,例如。這就是為什麼國家標準與技術研究所不再建議使用簡訊進行雙因素認證的原因。
另一種方法是:在裝置上生成程式碼
相關:如何設定雙因素身份驗證的Authy(並在裝置之間同步程式碼)
一個不依賴簡訊的雙因素身份驗證方案更為優越,因為**公司將無法讓其他人訪問你的密碼。最流行的選擇是像googleauthenticator這樣的應用程式。但是,我們推薦Authy,因為它可以完成googleauthenticator所做的一切。
這樣的應用程式在您的裝置上生成程式碼。即使攻擊者欺騙你的**公司將你的電話號碼移到他們的**上,他們也無法獲得你的安全程式碼。生成這些程式碼所需的資料將在**上保持安全。
相關:如何設定谷歌新的無程式碼雙因素認證
你也不必使用密碼。Twitter、Google和Microsoft等服務正在測試基於應用程式的雙因素身份驗證,透過授權使用者在**上登入他們的應用程式,使用者可以在另一臺裝置上登入。
還可以使用物理硬體令牌。像Google和Dropbox這樣的大公司已經實施了一個新的基於硬體的雙因素身份驗證令牌標準U2F。這些都比依賴你的**公司和過時的電話網路更安全。
如果可能,避免使用簡訊進行雙因素身份驗證。它總比沒有好,而且看起來很方便,但它通常是您可以選擇的最不安全的雙因素身份驗證方案。
不幸的是,有些服務強迫你使用簡訊。如果你擔心這個問題,你可以建立一個谷歌語音電話號碼,並將其提供給需要簡訊認證的服務。然後,您可以登入到您的谷歌帳戶,您可以用更安全的雙因素身份驗證方法保護該帳戶,並在谷歌語音網站或應用程式中檢視安全訊息。只是不要把谷歌語音的資訊轉發到你的實際**號碼上。
- 發表於 2021-04-07 17:06
- 閱讀 ( 52 )
- 分類:網際網路
你可能感興趣的文章
如何為雲備份服務啟用雙因素身份驗證
... 現在應該為您的Backblaze帳戶成功啟用雙因素驗證。 ...
再見1密碼?5個可選的免費密碼管理器
... 今天的智慧**使用你的指紋來確定是你,然後才解鎖。為什麼您的密碼管理器不應該這樣做?Myki使用指紋、面部ID以及四位PIN碼。 ...
如果無法訪問程式碼生成器,如何登入facebook
... 你為什麼需要facebook確認碼? ...
是時候停止使用簡訊和2fa應用程式進行雙因素身份驗證了
... 為什麼要避免簡訊驗證 ...
如何在您的xbox帳戶上啟用2fa
... 什麼是2fa為什麼(2fa and why)? ...
微軟希望你不要再透過電話獲得2fa程式碼
...了一篇文章。他討論了多因素身份驗證方法的現狀,以及為什麼文字和語音2FA不如以前那麼強大。 ...
如何保護您的whatsapp帳戶
...啟用它時,WhatsApp會為您的帳戶新增第二層保護。 相關:為什麼不應該使用SMS進行雙因素身份驗證(以及使用什麼替代) 啟用2FA後,您必須鍵入六位PIN才能登入到您的WhatsApp帳戶。 即使你的**被偷或者有人用網路釣魚的方法盜...
如何為linkedin啟用雙因素身份驗證
...結。 本節將展開。單擊“開啟”按鈕。 您可以選擇是使用驗證器應用程式為您生成程式碼,還是使用程式碼接收SMS(文字)訊息。我們強烈建議使用驗證器應用程式,因為它更安全,但使用SMS的雙因素身份驗證仍然比根本不...
如何為您的amazon帳戶啟用雙因素身份驗證
...果你的裝置不能顯示第二個螢幕。目前還沒有關於這些是什麼裝置的資訊,但圖片顯示的是Kindle的早期版本。在我們使用Kindle長達5年的測試中,根本沒有2FA提示符,所以這裡可能沒有問題。但我們仍然建議您檢查所有使用您的...
如果你在facebook上使用sms2fa,你的電話號碼是可以搜尋的
...請記住,損壞可能是由您的電話號碼儲存的。這不會改變什麼。不過,轉向一個更好的安全方法,不涉及你的電話號碼從來不是一個壞主意。 有很多驗證器應用程式,但我們是Authy的超級粉絲。它使用的是你熟悉的基於程式碼的...
