蓝盟IT小贴士,来喽!
但是,有一个大问题。 人们把邮件作为第二要素太普遍了。 这将电话号码改为数字身份证设备——,他们被设计成了坏角色。 如果有人丢失或被盗智能手机,他们将失去认证的机会。 更糟的是,攻击者可以将电话号码转让给另一个人,该人现在接受认证请求。 解决2FA和MFA手机问题的方法如下所示。
双因素和多因素的认定是如何发挥作用的
两种预防措施都是通过使用一个以上的“认证因素”来工作的。 这个因素可能是用户知道、拥有或身份的一部分,如指纹。
最常见的组合之一是在用户名和密码(用户知道的)中添加通过邮件发送给用户的智能手机的信息、链接或代码(用户拥有的)。
但是还有其他的。 认证因素包括密码、个人琐事(如母亲的名字)、钥匙圈、面部信息和许多其他因素。
现实生活中的多因素认证
这每天发生数百万次。 一个用户忘记了密码,或者选择了更改密码。 或者从不同的地方访问网站,使用不同的设备,或者在网站上按一定的时间表检查用户。 因此,网站通过邮件向用户的手机发送代码、链接或密码。
问题是,假设只有原始诚实的用户才能获得与短信成对的电话号码。 这是个不好的假设。
以前,我们假设只有原始签名者才能用他们自己的方法写签名。 那是相当好的假设。 这是一个相当好的假设,即使假设只有真正的用户才能拥有注册的面孔和指纹。 但是你有电话号码吗? 不是那样的。
经证实,威胁者可以找到无线提供商网站上的哪个电话号码是“找回”的号码(过去曾被使用过,现在已被放弃)。 而且,他们与泄露的登录证书一致,可以在暗网上销售。 通过得到这些电话号码,他们可以通过重新设置密码(通过新电话号码进行确认)来劫持账户。
回收的电话号码问题
一位研究者抽取了美国两个无线运营商提供的259个电话号码。 他们发现,其中171个号码与不同网站的现有账户相符,100个号码与网上泄露的证书相符。
有趣的是,我注意到电话公司提供的新号码是连续的号码块。 但是,他们在不连续的区块中显示了回收的号码,揭露了以前使用过的事实。 研究人员称,攻击者可以自动发现这些号码。研究人员还监测了200个回收号码。 一周内,他们发现其中约10%收到了针对前所有者的隐私和安全信息。
该研究直接指出了2FA和MFA网络安全中电话号码依赖的脆弱性。 但是,事实也确实如此。
另外,在一个调查项目中,发现约三分之一(30 )的人在邮件中使用2FA。 (约40%的人支持认证APP )。
超过短信代码
基于SMS的认证不仅在某人号码改变时失败。 网络罪犯可以使用任意数量的专业无线系统拦截邮件。 攻击者可以欺骗、威胁或贿赂电话公司的员工,将电话号码转移到网络罪犯的SIM卡上(称为SIM交换)。 基于文本的代码也可以通过网络钓鱼工具获得。
底线是,电话号码可以分配给多人。 攻击者(或事故)可以将手机与所有者分离。 他们可以拦截邮件,也可以通过其他方式侵入信息传递。 因此,出于很多原因,包括SMS在内的2FA或MFA的安全性远远低于其他许多方法。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
