双因素身份验证系统并不像看起来那样万无一失。如果攻击者能够欺骗您的电话公司或安全服务本身让他们进入,那么他们实际上并不需要您的物理身份验证令牌。
附加身份验证总是有帮助的。虽然没有什么能提供我们都想要的完美安全性,但使用双因素身份验证给想要你的东西的攻击者设置了更多障碍。
您的电话公司是一个薄弱环节
相关:通过对这16项Web服务使用两步验证来保护自己
许多网站上的两步认证系统的工作原理是,当有人试图登录时,通过短信向你的手机发送一条消息。即使你在手机上使用专用的应用程序来生成代码,你选择的服务也很有可能让人们通过向你的手机发送短信代码来登录。或者,该服务可能允许您在确认有权访问您配置为恢复电话号码的电话号码后,从您的帐户中移除双因素身份验证保护。
这一切听起来都不错。你有你的手机,它有一个电话号码。它里面有一张实体的SIM卡,将它与手机提供商的电话号码捆绑在一起。这一切看起来都很肉体。但是,不幸的是,你的电话号码并不像你想象的那样安全。
如果你曾经在丢失手机或刚买了一张新的SIM卡后需要将现有的电话号码转移到新的SIM卡上,你就会知道你通常可以完全通过电话-甚至是在线的方式来做到这一点。攻击者所要做的就是打电话给您的手机公司的客服部门,并假扮成您。他们需要知道你的电话号码和一些关于你的个人信息。这类详细信息-例如,信用卡号码、SSN的最后四位数,以及其他-经常在大型数据库中泄露,并被用于身份窃取。攻击者可以尝试将您的电话号码转移到他们的手机上。
还有更简单的方法。或者,例如,他们可以在电话公司的一端设置呼叫前转,这样来电就会被前转到他们的手机上,而不会到达您的手机。
见鬼,攻击者可能不需要访问您的完整电话号码。他们可以访问你的语音信箱,试图在凌晨3点登录网站,然后从你的语音信箱中获取验证码。你们电话公司的语音信箱系统到底有多安全?您的语音信箱PIN有多安全-您设置过吗?不是每个人都有!如果您有,攻击者需要多长时间才能通过呼叫您的电话公司来重置您的语音邮件PIN?
有了你的电话号码,一切都结束了
相关:如何避免在使用双因素身份验证时被锁定
您的电话号码成为薄弱环节,允许攻击者通过短信或语音呼叫从您的帐户中删除两步验证,或接收两步验证码。当你意识到有什么不对劲的时候,他们就可以访问这些账户了。
这几乎是每项服务都存在的问题。在线服务不希望人们无法访问他们的帐户,因此它们通常允许您绕过并取消与您的电话号码的双因素身份验证。如果你不得不重置你的手机或者换一个新的,并且你丢失了你的双因素验证码--但是你仍然有你的电话号码,这会很有帮助。
理论上,这里应该有很多保护措施。实际上,您正在与移动服务提供商的客户服务人员打交道。这些系统通常是为提高效率而设置的,客户服务员工可能会忽视面对似乎愤怒、不耐烦且拥有足够信息的客户所面临的一些保障措施。您的电话公司及其客户服务部门是您安全方面的薄弱环节。
保护你的电话号码很难。现实地说,移动电话公司应该提供更多的保障措施,以降低风险。在现实中,你可能想要自己做一些事情,而不是等待大公司修复他们的客户服务程序。一些服务可能允许你通过电话号码禁用恢复或重置,并对其发出大量警告-但是,如果这是一个任务关键型系统,你可能想选择更安全的重置程序,比如重置代码,你可以在需要的时候锁定银行金库。
其他重置程序
相关:安全问题不安全:如何保护您的帐户
这也不仅仅是关于你的手机号码。如果您声称丢失了代码并需要登录,许多服务允许您以其他方式删除该双因素身份验证。只要你知道足够多的账户个人信息,你就有可能进入。
自己试一试-转到您使用双因素身份验证保护的服务,假装您丢失了代码。看看怎样才能进去。在最坏的情况下,您可能不得不提供个人详细信息或回答不安全的“安全问题”。这取决于服务的配置方式。您可以通过电子邮件发送指向另一个电子邮件帐户的链接来重置它,在这种情况下,该电子邮件帐户可能会成为薄弱环节。在理想情况下,您可能只需要访问电话号码或恢复代码-正如我们已经看到的,电话号码部分是一个薄弱环节。
这里还有另一件可怕的事情:这不仅仅是绕过两步验证。攻击者可以尝试类似的技巧来完全绕过您的密码。这是可行的,因为在线服务希望确保人们能够重新访问他们的账户,即使他们丢失了密码。
例如,看看谷歌账户恢复系统。这是恢复您的帐户的最后选择。如果你声称不知道任何密码,你最终会被要求提供有关你的账户的信息,比如你创建它的时间和你经常给谁发邮件。从理论上讲,对您有足够了解的攻击者可以使用这样的密码重置过程来访问您的帐户。
我们从未听说过谷歌的账户恢复过程被滥用,但谷歌并不是唯一一家使用这种工具的公司。它们不可能都是万无一失的,特别是当攻击者足够了解您的时候。
不管有什么问题,设置了两步验证的帐户总是比没有两步验证的同一帐户更安全。但双因素身份验证不是灵丹妙药,正如我们所看到的那样,攻击利用了最大的薄弱环节:您的电话公司。