在医学和终端用户网络安全方面, 获得第二种意见是一个好主意. 双因素认证 (2FA) 和多因素认证 (MFA) 是打击涉及终端用户设备和基于互联网服务的各种网络攻击的有力工具.
但是有一个大问题: 人们使用短信作为第二要素的情况过于普遍. 这就把电话号码变成了数字身份设备 -- 它们被设计成一个糟糕的角色. 如果有人丢失了智能手机或被盗取, 他们也就失去了认证的机会. 更糟糕的是, 攻击者可以将电话号码转让给另一个人, 而这个人现在会收到认证请求. 下面是如何解决 2FA 和 MFA 手机问题的方法.
双因素和多因素认证如何工作
这两种预防措施都是通过使用一个以上的 "认证因素" 来工作. 这个因素可以是用户知道的, 拥有的或者是他们身份的一部分(如指纹).
最常见的组合之一是用户名和密码(用户知道的东西), 加上通过短信发给用户的智能手机的信息, 链接或代码(用户拥有的东西).
但也有其他的. 认证因素可以是一个密码, 一项个人琐事(例如母亲的姓名), 一个钥匙扣, 脸部信息或其他许多因素.
现实生活中的多因素认证
这种情况每天都会发生上百万次. 一个用户忘记了密码, 或者选择了改变密码. 或者他们从不同的地方访问一个网站, 或者使用不同的设备, 或者在一个网站上按固定的时间表检查用户. 因此, 网站通过短信向用户的手机发送一个代码, 链接或密码.
这样做的问题是, 它假设只有原始的, 诚实的用户才有可能获得与短信配对的电话号码. 而这是一个糟糕的假设.
在过去, 人们假设只有原始签名人能够以他们的方式写出他们的签名. 那是一个相当好的假设. 当我们假设只有真正的用户可以拥有注册的脸部或指纹时, 这也是一个相当好的假设. 但拥有一个电话号码? 就不是那么回事了.
事实证明, 威胁者可以找出无线供应商网站上的哪些电话号码是 "回收" 的号码 (曾经使用过但现在放弃了). 然后, 他们可以与泄露的登录凭证相匹配, 在暗网上出售. 通过获得这些电话号码, 他们可以通过重新设置密码(用新的电话号码确认) 来劫持账户.
回收的电话号码的问题
有研究人员抽查了美国两家无线运营商提供的 259 个电话号码. 他们发现, 其中 171 个号码与不同网站的现有账户相匹配, 100 个号码与网上泄露的凭证相匹配.
有趣的是, 研究人员注意到, 电话公司提供的新号码是连续的号码块. 但他们在非连续的区块中显示回收的号码, 暴露了它们以前被使用过的事实. 研究人员说, 攻击者可以自动发现这些号码.
研究人员还监测了 200 个回收的号码. 在一个星期内, 他们发现其中约有 10% 的人收到了针对前主人的隐私或安全相关的信息.
该研究直接指出了 2FA 和 MFA 网络安全中依赖电话号码的漏洞. 但事实也确实如此.
此外, 在一个调查项目中发现, 近三分之一 (30%) 的人通过短信使用 2FA.(大约 40% 的人支持认证应用程序).
超越短信代码
基于短信的认证并不只是在某人的号码改变时失败. 网络犯罪分子可以使用任何数量的专业无线系统拦截短信. 攻击者可以欺骗, 勒索或贿赂电话公司员工, 将电话号码转移到网络罪犯的 SIM 卡上(称为 SIM 交换). 基于文本的代码也可以通过网络钓鱼工具获得.
底线是, 电话号码可以分配给一个以上的人. 攻击者 (或事故) 可以将手机与他们的主人分开. 他们可以拦截短信或以其他方式闯入信息传递. 因此, 由于许多原因, 包括短信在内的 2FA 或 MFA 的安全性远远低于许多其他方法.
MFA 的密码元素是什么?
换句话说, 在所有可用于多因素认证的因素中, 到目前为止最常见的是用户名 / 密码以及短信.
发短信和智能手机是不安全的方法, 这已经很糟糕了, 但用户名和密码也同样不容乐观. 太多的用户使用薄弱的密码, 他们在多个网站上重复使用这些密码, 而威胁者窃取了太多的密码, 并在暗网上提供给其他网络犯罪分子.
提高 2FA 安全性和 MFA 的一举两得的方法是强制规定强密码和使用密码管理器. 接下来, 禁止基于文本的认证, 以支持更安全的东西, 如认证应用程序. 有了这些, 你就有了第一道防线.
来源: http://netsecurity.51cto.com/art/202107/675447.htm