雙因素身份驗證并不像您預(yù)期的那樣安全

您可能已經(jīng)聽到這個安全建議：使用雙因素身份驗證來保護(hù)您的帳戶。 如果你把一個密碼與一個通過短信發(fā)送的代碼或一個像GoogleAuthenticator這樣的應(yīng)用程序生成的代碼配對，你會讓黑客的生活變得艱難，所以推理是這樣的。

問題是：它可以很容易地繞過。 問問Twitter首席執(zhí)行官杰克·多爾西。 黑客通過SIM交換攻擊獲得了對多爾西T witter帳戶的訪問，這種攻擊包括欺騙運(yùn)營商將移動服務(wù)轉(zhuǎn)換為新手機(jī)。

要了解更廣泛的情況，請查看CNET本周關(guān)于密碼問題的報道，以及一些解決方案，如硬件安全密鑰，您可以開始使用今天。

呆在知情的地方。 每個工作日從CNET新聞獲得最新的技術(shù)故事。

銀行、社交網(wǎng)絡(luò)和其他在線服務(wù)正在轉(zhuǎn)向雙因素認(rèn)證，以阻止大量黑客和數(shù)據(jù)竊。 超過5.55億個密碼已通過數(shù)據(jù)漏洞暴露。 即使你的密碼不在名單上，我們很多人重復(fù)使用密碼，甚至是所謂的黑客，這意味著你可能比你想象的更容易受到傷害。

別誤會我。 雙因素認(rèn)證是有幫助的.. 這是一個被稱為多因素認(rèn)證的更廣泛的方法的重要組成部分，它使登錄更麻煩，但也使它更安全。 就像名字所暗示的那樣，這種技術(shù)依賴于結(jié)合體現(xiàn)不同品質(zhì)的多種因素。 例如，密碼是你知道的，安全密鑰是你擁有的。 指紋或面部掃描只是你的一部分。

但是，基于代碼的雙因素身份驗證并沒有像您希望的那樣提高安全性。 這是因為代碼只是你知道的東西，就像你的密碼，即使它的保質(zhì)期很短。 如果它被偷了，你的保安也是。

黑客可以創(chuàng)建假網(wǎng)站來攔截您的信息，例如使用名為Modlishka的軟件，該軟件由一位安全研究人員編寫，該研究人員希望展示易受攻擊的網(wǎng)站有多嚴(yán)重。 它使黑客程序自動化，但沒有什么能阻止攻擊者編寫或使用其他工具。

以下是攻擊的原理。 電子郵件或短信引誘你到假網(wǎng)站，黑客可以自動從原件實時復(fù)制，以創(chuàng)造令人信服的假貨。 在那里，您鍵入登錄詳細(xì)信息和通過SMS或身份驗證應(yīng)用程序獲得的代碼。 然后黑客將這些細(xì)節(jié)輸入到真實的網(wǎng)站，以訪問您的帳戶。

然后是SIM交換攻擊，得到了Twitter的多爾西。 黑客冒充你，說服Verizon或AT&；T等運(yùn)營商的員工將你的電話服務(wù)切換到黑客的電話上。 每個手機(jī)都有一個離散的芯片，一個用戶身份模塊，或SIM，可以將它識別到網(wǎng)絡(luò)上。 通過將您的帳戶移動到黑客的SIM卡，黑客可以讀取您的消息，包括您通過短信發(fā)送的所有身份驗證代碼。

不要僅僅因為它不完美就放棄雙因素認(rèn)證。 它仍然比一個單獨的密碼要好得多，并且更能抵抗大規(guī)模的黑客攻擊。 但絕對要考慮對敏感賬戶加強(qiáng)保護(hù)，比如硬件安全密鑰。 Face book、谷歌、Twitter、Dropbox、GitHub、微軟和其他公司今天都支持這項技術(shù)。