双因素身份验证(Two-factor authentication, 2FA)的发明是为了给现在被认为过时且不安全的简单登录过程(即输入用户名和密码)增加额外的安全层。

其中最著名的2FA的例子是当您尝试从其他机器或不同的位置登录熟悉的网站,这会导致不同的IP。使用启用了2FA的登录步骤,您将首先在计算机上输入您的用户名和密码,然后收到手机的短信,为您提供验证码。您必须在计算机上输入该验证码以完成登录步骤。

解释不同的因素

双因素身份验证是比较简单的多因素身份验证(MFA),它只是使用更多因素来确定登录的真实性。那么这些因素是什么?多因素身份验证设置中有三个主要类别可能的因素。让我们来看看可能性。

你知道的东西

“你知道的事情”是我们最熟悉的因素。它要求一个人输入他们知道的信息,以获得访问他们的帐户。用户名和密码的组合是最主要的例子,但你的银行使用的安全问题就属于这一类。

你必须

接收与前面提到的验证码类似的验证码意味着您正在使用的过程是双因素或多因素身份验证的“您所拥有的东西”。你拥有的东西可以是一个独立的电子邮件帐户或可以发送验证码的电话,但也有专门的硬件解决方案,如YubiKey这落入了这个类别。

你的东西

“你是”类别的类别仍在开发中,但它在某些物理标志上中心,可以通过技术分析,或者生物识别学,以证明你的身份。这些生物识别技术包括:

  • 指纹
  • 视网膜扫描
  • 语音识别
  • 脸识别

尽管包括医疗机构、银行和移动电话在内的安全行业已经开始采用这些方法,但这些方法中的大多数仍然需要在日常使用中足够可靠。

这些方法中的许多,一旦完全实现,将使网络罪犯很难破解。然而,其中大多数仍然过于昂贵,无法实现或只是太大,无法在我们的手机上使用。

2FA如何容易受到攻击?

尽管有最好的意图 - 以保护人们的数据来保护犯罪分子的访问权限 - 两个因素(和多因素)身份验证仍然可以变得脆弱。如何?犯罪分子通过已经拥有了一个身份验证,或者他们在他们的方式中绕过它,或者他们使用一个没有技术可以保护的邪恶工具来保护:社会工程学

以下是最常见的滥用2FA的方式:

网络钓鱼

网络钓鱼可用于引诱受害者到假登录页面。当受害者进入他的凭据时,攻击者将这些转发到真正的登录页面,从而触发了提示受害者的2FA过程,该过程将受害者提示对他或邮寄给他的数值代码,或者在某些情况下由验证者应用程序产生的某些情况。攻击者再次在伪登录页面上捕获此代码,受害者仍在使用,现在具有完整的身份验证集。显然,由于数值的有限性有限,攻击者必须快速。但是一旦他成功登录,就没有什么可以阻止他改变电话号码,下一个代码将被发送到 - 或者他想要的帐户中的其他任何其他代码。忘记密码程序

密码重置

如果攻击者拥有“您拥有的东西”,可以通过执行“丢失密码”过程跳过某些身份验证过程。例如,假设攻击者获得了对受害者电子邮件帐户的访问权,并且某个登录的验证链接被发送到该帐户。在这种情况下,攻击者可以使用网站上的“忘记密码”链接,并使用以下电子邮件交互将密码更改为他知道的东西。

蛮力

一些2FA代币非常短,字符非常有限,所以很容易通过暴力手段获得。如果攻击者有时间使用暴力破解,那么4位数的令牌是完全没用的,除非有适当的故障保护措施。具有有限时间有效性(TOTP)的令牌提供了更好的保护来抵御这种类型的攻击。

第三方登录

在一些登录过程中,用户可以选择使用第三方帐户登录,使用该选项可以绕过2FA程序。最著名的例子是“用你的Facebook账户登录”,这是用于某些网站和应用程序。在这种情况下,攻击者一旦知道了你的Facebook证书,就可以接管其他账户。(这就是为什么除非绝对必要,否则我们建议您不要使用第三方登录。)

我们如何保护自己?

随着每个月都有越来越多的大受欢迎公司的大规模数据泄露记录,2FA认证正迅速成为标准程序。尽管有绕过2FA的方法,但它仍然比使用老式的用户名和密码组合更安全。要绕过2FA,攻击者仍然需要打破两个身份验证周期,而用户名和密码只需要一个。

那么我们该如何做才能让犯罪分子远离2FA呢?遵循以下步骤,确保您的个人信息安全:

  • 注意电子邮件告诉您从新的或未知设备使用帐户,并检查这真的是您的。此外,请注意其他明显的红旗,如电子邮件通知您失败的登录尝试或密码重置请求,这些请求没有来自于您的。
  • 如果您有Facebook帐户,请在设置>应用程序和网站下检查是否列出了所有列出的所有内容以及是否应该在那里。此外,请记住,当您在某处使用“使用您的Facebook帐户”选项时,可以复活“禁用”Facebook帐户。
  • 如果您在身份验证程序中进行了选择,请对已知漏洞进行一些研究并应用这些课程。例如,攻击者可以使用弱令牌算法来预测下一个令牌,如果他们可以看到前一个令牌。或者在没有有限的有效性的情况下使用短令牌可以让您打开攻击。[课程:使用强大的令牌algos。]
  • 培训你自己和你的员工如何识别钓鱼企图。

如果2FA仍然易受攻击,则可能会询问,“那么为什么不使用多因素身份验证?”悲伤的事实是,即使是多因素身份验证也有其解决方法。“您是”您的设备上使用的“您是”的“某些东西”的方法仍然很容易到来 - 它不会乘Genius黑客来跳转语音识别。

但这个行业在向前发展的过程中也在快速学习。例如,使用两个间隔的高清摄像头,使得iPhone ex在人脸识别方面比一些老款iPhone好得多。随着更安全、更健壮的多因素身份验证版本的出现,人们仍然希望有一天它几乎不可能被欺骗。