在醫(yī)學(xué)和終端用戶網(wǎng)絡(luò)安全方面，獲得第二種意見(jiàn)是一個(gè)好主意。雙因素認(rèn)證(2FA)和多因素認(rèn)證(MFA)是打擊涉及終端用戶設(shè)備和基于互聯(lián)網(wǎng)服務(wù)的各種網(wǎng)絡(luò)攻擊的有力工具。

但是有一個(gè)大問(wèn)題：人們使用短信作為第二要素的情況過(guò)于普遍。這就把電話號(hào)碼變成了數(shù)字身份設(shè)備——它們被設(shè)計(jì)成一個(gè)糟糕的角色。如果有人丟失了智能手機(jī)或被盜取，他們也就失去了認(rèn)證的機(jī)會(huì)。更糟糕的是，攻擊者可以將電話號(hào)碼轉(zhuǎn)讓給另一個(gè)人，而這個(gè)人現(xiàn)在會(huì)收到認(rèn)證請(qǐng)求。下面是如何解決2FA和MFA手機(jī)問(wèn)題的方法。

雙因素和多因素認(rèn)證如何工作

這兩種預(yù)防措施都是通過(guò)使用一個(gè)以上的 "認(rèn)證因素 "來(lái)工作。這個(gè)因素可以是用戶知道的、擁有的或者是他們身份的一部分(如指紋)。

最常見(jiàn)的組合之一是用戶名和密碼(用戶知道的東西)，加上通過(guò)短信發(fā)給用戶的智能手機(jī)的信息、鏈接或代碼(用戶擁有的東西)。

但也有其他的。認(rèn)證因素可以是一個(gè)密碼、一項(xiàng)個(gè)人瑣事(例如母親的姓名)、一個(gè)鑰匙扣、臉部信息或其他許多因素。

現(xiàn)實(shí)生活中的多因素認(rèn)證

這種情況每天都會(huì)發(fā)生上百萬(wàn)次。一個(gè)用戶忘記了密碼，或者選擇了改變密碼。或者他們從不同的地方訪問(wèn)一個(gè)網(wǎng)站，或者使用不同的設(shè)備，或者在一個(gè)網(wǎng)站上按固定的時(shí)間表檢查用戶。因此，網(wǎng)站通過(guò)短信向用戶的手機(jī)發(fā)送一個(gè)代碼、鏈接或密碼。

這樣做的問(wèn)題是，它假設(shè)只有原始的、誠(chéng)實(shí)的用戶才有可能獲得與短信配對(duì)的電話號(hào)碼。而這是一個(gè)糟糕的假設(shè)。

在過(guò)去，人們假設(shè)只有原始簽名人能夠以他們的方式寫出他們的簽名。那是一個(gè)相當(dāng)好的假設(shè)。當(dāng)我們假設(shè)只有真正的用戶可以擁有注冊(cè)的臉部或指紋時(shí)，這也是一個(gè)相當(dāng)好的假設(shè)。但擁有一個(gè)電話號(hào)碼?就不是那么回事了。

事實(shí)證明，威脅者可以找出無(wú)線供應(yīng)商網(wǎng)站上的哪些電話號(hào)碼是 "回收 "的號(hào)碼(曾經(jīng)使用過(guò)但現(xiàn)在放棄了)。然后，他們可以與泄露的登錄憑證相匹配，在暗網(wǎng)上出售。通過(guò)獲得這些電話號(hào)碼，他們可以通過(guò)重新設(shè)置密碼(用新的電話號(hào)碼確認(rèn))來(lái)劫持賬戶。

回收的電話號(hào)碼的問(wèn)題

有研究人員抽查了美國(guó)兩家無(wú)線運(yùn)營(yíng)商提供的259個(gè)電話號(hào)碼。他們發(fā)現(xiàn)，其中171個(gè)號(hào)碼與不同網(wǎng)站的現(xiàn)有賬戶相匹配，100個(gè)號(hào)碼與網(wǎng)上泄露的憑證相匹配。

有趣的是，研究人員注意到，電話公司提供的新號(hào)碼是連續(xù)的號(hào)碼塊。但他們?cè)诜沁B續(xù)的區(qū)塊中顯示回收的號(hào)碼，暴露了它們以前被使用過(guò)的事實(shí)。研究人員說(shuō)，攻擊者可以自動(dòng)發(fā)現(xiàn)這些號(hào)碼。

研究人員還監(jiān)測(cè)了200個(gè)回收的號(hào)碼。在一個(gè)星期內(nèi)，他們發(fā)現(xiàn)其中約有10%的人收到了針對(duì)前主人的隱私或安全相關(guān)的信息。

該研究直接指出了2FA和MFA網(wǎng)絡(luò)安全中依賴電話號(hào)碼的漏洞。但事實(shí)也確實(shí)如此。

此外，在一個(gè)調(diào)查項(xiàng)目中發(fā)現(xiàn)，近三分之一(30%)的人通過(guò)短信使用2FA。(大約40%的人支持認(rèn)證應(yīng)用程序)。

超越短信代碼

基于短信的認(rèn)證并不只是在某人的號(hào)碼改變時(shí)失敗。網(wǎng)絡(luò)犯罪分子可以使用任何數(shù)量的專業(yè)無(wú)線系統(tǒng)攔截短信。攻擊者可以欺騙、勒索或賄賂電話公司員工，將電話號(hào)碼轉(zhuǎn)移到網(wǎng)絡(luò)罪犯的SIM卡上(稱為SIM交換)。基于文本的代碼也可以通過(guò)網(wǎng)絡(luò)釣魚工具獲得。

底線是，電話號(hào)碼可以分配給一個(gè)以上的人。攻擊者(或事故)可以將手機(jī)與他們的主人分開。他們可以攔截短信或以其他方式闖入信息傳遞。因此，由于許多原因，包括短信在內(nèi)的2FA或MFA的安全性遠(yuǎn)遠(yuǎn)低于許多其他方法。

MFA的密碼元素是什么?

換句話說(shuō)，在所有可用于多因素認(rèn)證的因素中，到目前為止最常見(jiàn)的是用戶名/密碼以及短信。

發(fā)短信和智能手機(jī)是不安全的方法，這已經(jīng)很糟糕了，但用戶名和密碼也同樣不容樂(lè)觀。太多的用戶使用薄弱的密碼，他們?cè)诙鄠€(gè)網(wǎng)站上重復(fù)使用這些密碼，而威脅者竊取了太多的密碼，并在暗網(wǎng)上提供給其他網(wǎng)絡(luò)犯罪分子。

提高2FA安全性和MFA的一舉兩得的方法是強(qiáng)制規(guī)定強(qiáng)密碼和使用密碼管理器。接下來(lái)，禁止基于文本的認(rèn)證，以支持更安全的東西，如認(rèn)證應(yīng)用程序。有了這些，你就有了第一道防線。