簡訊驗證並不安全!
為確保賬戶安全,雙重驗證已經成為網路服務的常規措施。但是對於大多數用戶來說,雙重設置需要有一個臨時生成的驗證碼,或者額外地給你的手機發送一個密碼,而這些驗證碼並不是不能破解的。尤其是那種通過簡訊形式發送的驗證碼。
在最近幾個月里已經證實手機簡訊經常是雙重驗證中最薄弱的環節:黑客攻擊了伊朗、俄羅斯甚至美國的政治活動家的手機簡訊。所以如果有可能的話,選擇一種更好的驗證方式是值得的,比如專門用於身份驗證的智能手機app軟體或者是能夠生成一次性驗證碼的實物密碼器。對於推特這類只能提供簡訊作為第二重驗證的業務,是時候要清醒了,要察覺到可能的攻擊,提供給用戶更好的選擇。
「簡訊並不是第二重驗證的最佳方式,」 安全研究員兼法醫專家Jonathan Zdziarski說:「它依賴你的手機進行驗證,而這種驗證能夠受到侵犯並且失去控制。」
社交軟體出問題不是空想出來的。在這個月初,Black Lives Matter的活動家DeRay McKesson發現,儘管他的推特賬戶有雙重驗證,但還是被黑了,黑客發了一條大選支持唐納德?特朗普的消息。他說,黑客冒充他,打電話給Verizon(美國電信運營商),並讓公司將他的簡訊發送至另一個不同的SIM卡上,從而截取他的一次性登陸密碼。俄羅斯的活動家們近期也發現了他們的電報賬號也被攻擊了,可能是由國有電信公司幫助那些獨裁政府劫持簡訊電報用於用戶登錄。
事實上,並不是只有公眾人物才成為被攻擊的目標。作為密碼安全專家,Lorrie Cranor曾經歷過一場相關的黑客攻擊,她注意到這些身份識別攻擊已經相當普遍,以至於紐約州發布了一個官方警告。
在你的登陸過程中,多增加一重基於簡訊驗證的保障,勢必要優於僅僅基於密碼登陸的設置。但是Zdziarski指出,簡訊驗證作為第二重驗證卻一點也不保險。雙重驗證是想確認人們的身份,基於一些他們知曉的信息(例如密碼)以及他們擁有的一些物品(例如他們手機或其他設備)。
像「谷歌認證」和基於RSA加密演算法的「令牌」就具有更好的安全性,它們可以通過網路服務商提供獨一無二的一次性密碼。經過測試,因為加密技巧的原因,這些安全信息無法在兩台電腦之間互用。這樣安全性就遠遠高於簡訊驗證。不過,它方便性有所降低,這也可能是為什麼沒有那麼普遍的原因吧。
「簡訊驗證把你的登陸方式從『你知曉的信息』變成了『別人發送給你的信息』,」 Zdziarski說:「如果交易發生了,這可能會被攔截。這也就意味著你的交易可能存在一定程度的風險。」
有一些策略諸如應用社交工程或者使用暴力手段,可以針對電話公司,從而破壞雙重驗證中的簡訊驗證。被稱為「國際移動用戶識別碼(IMSI)」和「黃貂魚破解器」的假的手機信號塔也可以攔截簡訊。安全共同體最近呼籲關注七號信令系統(SS7),此協議允許網路通信彼此可以進行信息交流。黑客可以利用SS7,更改用戶的電話號碼,攔截他們的電話或簡訊。「現在任何網路可以告訴其他網路『你的用戶』信息,除非你的電話接通,否則電話和信息就會被轉移到其他網路,」安全實驗室的首席科學家Karstem Nohl說,此科學家最近演示了60分鐘的攻擊。「如果有一個攻擊者,他們能得到你所有的簡訊。這確實千真萬確……而且它是如此簡單,簡單到讓人羞於說這是黑客行為。」
不過這些攻擊準確的說也不是那麼容易實現的,需要攻擊者搞到用戶的電話號碼以及密碼。這些號碼可以是偷的,也可以是猜的,或者也可以是其他黑客組織泄露出的數據。因為任何一個人都有可能成為一個老練黑客的目標,所以這些基於簡訊服務的技術都應該避免任何登錄相關信息的泄露。
幸運的是,大量的服務商提供了更好的選擇。谷歌上周推出了「谷歌提示」,此服務可以直接從伺服器發送第二重驗證,到用戶的安卓手機或者ISO系統的app應用「谷歌搜索」中。但是,更安全的應用應該不要求發送任何信息。像「谷歌認證」與「谷歌令牌」,以及RSA加密演算法這樣的app應用會生成一次性的密碼,並且這些密碼會在幾秒之內就發生變更。這些由伺服器產生的提取碼被諸如Slack、WordPress或者Gmail這些服務商所應用,所以他們的用戶可以說出密碼來證明自己的身份,即使被泄露到網路上也是沒有關係的。
蝌蚪君編譯自wired,譯者 天狼,轉載須註明
TAG:知識百科 |