首页 » 科技要闻 > 正文

SMS两因素身份验证不安全-改用这些

Google的Titan安全密钥的发现使人们关注了一个已存在但未被广泛采纳的技术:物理密钥为您的数字生活打开了大门。兼容FIDO的安全密钥,看起来很奇怪,只是解决数字安全最大威胁之一的最新尝试:密码。但是,尽管双重身份验证终于获得了一定的吸引力,但由于采纳了强制执行的服务,因此不幸的是,它们使用的是最不安全的媒介:短信。

“ 周某某456”和“ password”

似乎人类在保守秘密和记住他们离开钥匙的地方自然是可怕的。这些特质是物理世界的弱点,也渗入了我们的数字生活。一方面,当最强的密码必须是几乎无法记住的字母和数字字符串时,您能责怪谁?将其乘以您拥有的帐户数量,就可以看到密码治理器在何处开展业务。

我们不是强迫人们学习更好的密码习惯(几十年来向来没有成功),而是学会了使用技术对问题进行创可贴。这就是两因素身份验证或2FA诞生的方式,它使用了所有人都可以立即使用的通信渠道,而这恰恰是最不安全的。

最低公分母

如今,大多数两因素身份验证通过SMS发送一次PIN(OTP)来验证登录尝试。根据网络质量,它是快速,简便的,并且每个拥有电话的人都可以使用它。它甚至不必是智能手机,只需具有短信功能的一般 电话就足够了。真是不解为什么它是最常见的2FA方法。

但是,SMS是在加密之类的东西尚未真正普及的时代诞生的,即使它们已经存在。SMS的构建旨在为新兴网络的实施和支持提供快速便捷的支持。不幸的是,它从未超过这些限制,并且至今,它仍然是广泛使用的最易受攻击的协议。

但是忘了中间人的攻击和监听。令人信服的黑客实际上可以欺骗运营商,让他们访问您的电话号码或SIM卡。直到最近,运营商才明智地制定了这一战略,并开始更加慎重。但是到那时,已经为时已晚。SMS 2FA已成为一种规范,就像拥有一把钥匙,但是将该钥匙放在任何人都可以看到的地方。

身份验证应用

这也是科技行业试图推动另一种2FA方法:应用程序的原因。毫不奇怪,Google处于这一趋势的最前沿,但如果您对它的信任度不足,那么仍然可以选择很多身份验证器应用程序,例如Microsoft Authenticator(确定,也许不是更好的选择),Authy,LastPass和1密码,仅举几例。这些应用程序不与特定的电话号码绑定,也不使用不安全的SMS通道。

固然,这里有一些不便之处。最大的问题是它确实需要您拥有智能手机,尤其是Android或iOS。固然,任何智能手机都可以,而且如今几乎每个人都拥有一部。它们也从表面绑定到设备。如果丢失该设备或卸载该应用程序,则可能会失去对使用此2FA方法的帐户的访问权限。固然,它们通常会为您提供“恢复码”或具有备用选项(通常是电子邮件,甚至是SMS)。自然,它比SMS难,但确实如此。

安全金钥

这也部分是具有安全密钥这一相对较新的趋势的原因。具有讽刺意味的是,即使是完全数字锁,我们又回到使用物理键。安全密钥大部分不需要身份验证器应用程序,而仅需要密钥本身,或者(为了提供更多保护)指纹也需要。

固然,考虑到人们倾向于丢失钥匙,这几乎是诱人的命运。幸运的是,在使旧密钥无效的同时,对其进行编程很容易。企业客户也喜欢它,因为它使他们对谁可以访问什么有更多的操纵权,而治理员只喜欢被操纵。

当心社交骇客

这两种2FA方法,SMS,应用程序和硬件密钥证明了在确保我们的数字生活安全方面日益复杂。但是,它们都是解决实际问题的创可贴。更好的创可贴,但仍只是暂时解决方法。它们可以保护帐户和文件免受技术攻击,但事实证明它们不足以抵御所有最严峻的攻击:社交黑客。

将其称为社会工程,网络钓鱼或仅是简单的限制,社会黑客攻击就是安全链中最薄弱的环节。固然,您不太可能简单地将物理密钥交给完整的陌生人,但是好的社交黑客只需要观察目标即可发现自己的弱点和习惯。毕竟,我们是习惯的造物,不幸的是,我们共同养成了可以想象的最坏的安全习惯。