多因素認證就一定安全了嗎？事實並非如此

更多全球網路安全資訊盡在E安全官網www.easyaq.com

小編來報：新的詐騙手段不斷出現，多因素認證也變得不那麼安全了。可能很多人會想，多因素身份驗證使用兩個獨立的通道，驗證碼是隨機生成的，驗證碼的有效期是有限的，那怎麼可能出錯呢？跟小E一起來看一下吧！

也許你已經在手機上設置了多因素身份驗證，所以你必須輸入一個簡訊驗證碼，才能在一個新設備登錄電子郵件或銀行賬戶。但你可能沒有意識到的是，新的詐騙手段使得使用簡訊、電子郵件或語音通話發送的驗證碼的安全性不如以前。

多因素認證是澳大利亞網路安全中心推薦的安全措施之一，為企業減少了遭受網路攻擊的風險。但上個月，在一份名單更新後，通過簡訊、電子郵件或語音通話進行的身份驗證被降級，它們不再被認為是安全的最佳選擇。

每當我們登錄一個應用程序或設備時，通常會被要求進行某種形式的身份檢查，通常是密碼、卡、指紋等等。最後一個通常是首選，因為雖然你可能會忘記密碼或忘記帶卡，但生物特徵始終與你在一起。

多因素身份驗證是指通過不同的方式進行身份驗證。例如，除了輸入密碼，你還需要輸入額外的身份驗證碼，這個驗證碼會通過簡訊、電子郵件或語音郵件發送到你的手機。銀行已經提供了這個功能，一個「一次性」的驗證碼會發送到你的手機，以確認授權來進行交易。

可能很多人會想，多因素身份驗證使用兩個獨立的通道，驗證碼是隨機生成的，驗證碼的有效期是有限的，那怎麼可能出錯呢？

不是沒有可能。假設有人偷了你的手機，如果罪犯想要登錄你的銀行賬戶，銀行會向你的手機發送一個身份驗證碼。根據你的手機設置，即使手機仍然是鎖定的，驗證碼可能仍會在手機屏幕上彈出。罪犯就可以輸入密碼，進入你的銀行賬戶。請注意，「防打擾」設置沒有任何幫助，信息仍然會出現。為了避免這個問題，你需要在手機設置中完全禁用信息預覽。

還有一種更複雜的黑客手段涉及「SIM交易」。如果罪犯有你的一些身份信息，他們可能會欺騙電話服務提供商，讓服務商認為他們就是你，並要求服務商把新SIM卡發給他們。這樣，這些驗證碼就會發送到罪犯的手機上了。

幾年前，一名美國科技記者就遇到過這種情況，一名黑客拿到了他的SIM卡，又切斷了他手機的網路服務，黑客就修改了他的Gmail密碼、Facebook密碼。大約兩分鐘後，他就被鎖在了他的數字生活之外。

接下來的問題是，你是否希望向正在使用的服務提供你的電話號碼。近日，Facebook要求用戶提供自己的電話號碼以確保賬戶安全，但隨後又允許其他人通過電話號碼搜索個人資料，因此而遭到了抨擊。據報道，他們還利用目標用戶的電話號碼來投放廣告。

並不是說分割身份檢查是一件壞事，只是說通過不太安全的方式發送身份驗證會產生一種虛假的安全感，實際上這種方法的安全性可能比完全不使用這些方法更低。

多因素身份驗證很重要——只要你通過正確的通道進行身份驗證。

哪種身份驗證組合最好？

第一種是用密碼和物理訪問卡。雖然這種組合被破解不是不可能，但是很難。網路罪犯必須同時獲得這兩種身份才能冒充你。

第二個組合是密碼和聲紋。聲紋識別系統會記錄你說的特定密碼，然後在你需要驗證身份時進行聲音匹配。但你的聲音能被偽造嗎?在數字軟體的幫助下，可能會把你的聲音錄音、解壓並重新排序，以產生所需的短語。這有點挑戰性，但並非不可能。

第三種組合是卡和聲紋。這個選擇消除了對密碼的需要，因為密碼可能被竊取，並且只要您保持物理令牌（卡或密鑰）的安全性，其他人就很難模仿您。

目前還沒有完美的解決方案。使用多因素身份驗證的哪種組合取決於你在可用性和安全性之間的取捨。

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com

推薦閱讀：

• 看了那麼多間諜電影，你還覺得指紋和面部掃描儀安全嗎？

• 揭秘 | 新加坡重大網路攻擊背後的間諜組織浮出水面……

• 黑客橫行，微軟發現與伊朗有關的黑客組織

• 福利篇 | 免費又好用的逆向工程工具發布！

• 打臉美國！華為在布魯塞爾的網路安全中心正式開幕

• 工業和基礎設施組織的首要任務：保護OT環境

▼點擊「閱讀原文」 查看更多精彩內容

喜歡記得打賞小E哦！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！