双重认证

4 文章

为什么双重身份验证还不够安全

黑客可以拦截银行发送的短信,然后利用短信中的验证码获取帐户的完整访问权限。最近,德国有一批消费者非常倒霉,黑客正在利用这种办法盗用他们的帐户,导致经济损失惨重。下面我们来看看具体黑客是怎样得逞的。

三个真实的网络攻击事件:利用互联网黑客入侵、盗取信息并毁掉他人生活

多年的经验告诉我们,即使是经验最丰富的老用户也无法保护自身免遭针对性黑客攻击。随着我们的日常生活与互联网和其他网络愈来愈息息相关,在线安全也就成为了亟须解决的问题。 如今,几乎每个人都有自己的邮箱、社交媒体和网银账号。人们通常在线订购商品、使用移动网络验证身份(例如,双因素认证解决方案)以及做一些其他重要事情。但不幸的是,所有这些系统均或多或少存在不安全性。 我们的在线互动越多,则越可能成为狡猾网络黑客的目标;安全专家们则将这一现象称为”攻击面”。攻击面越大—则越容易遭受网络攻击。通过了解以下三个发生在三年前的案例故事,你将能彻底明白这些网络攻击的实施方式。 如何盗窃账号:黑客入侵或只需一个电话? 其中网络黑客使用的最强大工具之一就是”黑客入侵”,又称社交工程。2016年2月26日,Fusion的编辑Kevin Roose决定检验这一工具是否真如传说中的那般强大。社交工程黑客Jessica Clark和安全专家Dan Tentler应邀接受了这项挑战。 Jessica立下承诺:只需一个电话就能黑客入侵Kevin的邮箱,最后她如愿成功完成了挑战。首先,她的团队制作了一个长达13页的个人资料,内容涵盖叫做Roose这个人的完整信息,比如:他的喜好与厌恶等等内容。所有这些资料均从公共资源获得。 一切准备停当后,Jessica假用Kevin的手机号码拨通了电话公司的号码。为了增加真实感,她还有意在电话旁播放婴儿哭闹的视频。 Jessica自称是Roose的妻子,表示她和她的”丈夫”打算申请贷款,但自己因为年轻又疲于照顾孩子因此忘了他们经常使用的邮箱地址。她的巧令言辞加上电话那头孩子的哭闹声,很快就说服了客服重置邮箱密码,进而获得其目标邮箱的访问权。 Dan Tentler则是利用网络钓鱼完成挑战。首先,他注意到Kevin在Squarespace上开有博客,因此向他发送伪造该博客平台的所谓”官方电邮”。在邮件中,”Squarespace管理员”要求用户为了”安全”起见升级SSL证书。事实上所附文件与安全保护毫无关系,而是让Tentler能获取Kevin的PC电脑访问权。之后,Dan创建了几个伪造的弹出窗口要求Roose填写具体的登录凭证—接下来一切就变得轻松简单了。 Tentler成功获取了Kevin的银行数据、邮箱和网店的登录凭证,以及信用卡资料和社会安全号。此外,Dan还盗取了Roose的不少照片及截屏。在整整48小时的黑客入侵过程中,这一切都是每2分钟自动进行一次的。 如何在一晚上成功抢劫软件工程师 2015年春天,软件开发者Partap Davis不幸损失了3000美元。在晚上短短的几个小时时间,一个不明身份的网络黑客成功盗取了他的2个邮箱账号、电话号码和推特账号。该名网络犯罪分子聪明地绕过了双因素认证系统,并将Partap的比特币电子钱包一卷而空。你可以想象,第二天早上Davis看到这一切后的沮丧心情。 值得注意的是,Patrap Davis是一名经验非常丰富的互联网用户:他总是选择可靠的密码且从不点击任何恶意链接。他的邮箱采用Google的双因素认证系统保护,如果用新电脑登录时,还必须输入6位数字并发送到他的手机号码。 Davis的主要存款是他的3个比特币钱包,采用Authy移动应用的另一项双因素认证服务进行安全保护。尽管Davis采用了所有这些合理的安全保护措施,但依然未能避免针对性黑客攻击。 在该事件发生后,Davis非常恼火并花了几周时间试图找出背后的犯罪分子。此外,他还向The Verge编辑发出了求助。最终,他们一道设法努力找出了这一黑客攻击的运行方式。 由于Davis使用Patrap@mail.com作为其主邮箱地址。而在这之后,所有邮件均进入了另一个名字相似的Gmail邮箱里(而Patrap@gmail.com之前已被他人注册)。 有那么几个月时间,所有人都认为只需从Hackforum购买一个特殊脚本,就能利用Mail.com密码重置页的弱点实施针对性攻击。显然,这一脚本也被用来绕过双因素认证和更改Davis密码。 在这之后,网络黑客请求对Davis的AT&T账号设置新密码,并要求客服将Davis的所有来电转至长滩的一个电话号码。客服在收到邮件确认后,同意由犯罪分子控制进入来电。因此一旦拥有这一功能强大的工具,绕过Google的双因素认证并获取Davis的Gmail账号访问权将不再是难事。 由于短信还是依然发送到Davis的原有手机号码,而网络黑客则利用Google辅助功能的缺陷绕过短信认证。它能提供语音朗读确认码服务。Gmail就是这样被黑客入侵的,而唯一能阻止黑客攻击的工具就只有Authy应用了。 要想解决这一障碍,不法分子只需使用mail.com邮箱地址在其手机上重置这一应用,就能重新收到语音版的确认码。在绕过了所有安全保护措施后,网络黑客得以更改Davis其中一个比特币钱包的密码,进而利用Authy和mail.com邮箱地址将全部比特币一卷而空。 但其他两个账户的资金却未能成功转移。其中一个网络服务规定,在密码重置后48小时内不得取款。而另一个则要求提供Davis驾照的扫描件,显然网络黑客无法提供。 毁掉他人生活的恶意黑客攻击 在几年前,所有当地的咖啡店和饭店纷纷开始向他们送匹萨、馅饼和其它各类食品外卖,但问题是他们从未订购过这些东西。每次Paul和Amy

什么是双重认证?哪些情况下应该使用双重认证?

我们在播客中曾经录制过相关内容,在其中我们用了大量视频(我会在下面嵌入这些视频)详细讨论了双重认证。之前我们也在无数文章中间接提到过双重认证。但是抽时间专门写一篇文章来讨论双重认证的定义、工作原理和适用场景,这还是头一次。 什么是双重认证? 双重认证是许多在线服务提供商所提供的一种功能,它要求用户提供两种形式的认证,为用户的帐户登录过程额外上一道保险。第一种形式通常是密码。第二种形式可以是任意认证。可能最流行的第二重认证是短信或电子邮件验证码。双重认证背后的理论是:要进行登录,用户必须知道某项内容并掌握它。因此,为了访问公司的虚拟专用网,用户可能需要密码和U盘。 双重认证虽然不能保证帐户万无一失,但无论谁想入侵受双重认证保护的帐户,它都会是一个难以逾越的障碍。 双重认证虽然不能确保帐户万无一失,但无论谁想入侵受双重认证保护的帐户,它都会是一个难以逾越的障碍。我认为密码有众所周知的严重缺陷:简单的密码易记但也易破;而复杂的密码虽然难破,但也很难记住。为此,对创建密码不在行的用户会一再使用相同的密码。至少使用双重认证后,攻击者除了得破解密码外,还得有权访问第二重认证,而要取得第二重认证,就得窃取手机,或者入侵电子邮件帐户。 什么是双重认证,哪些情况下应该启用双重认证?#安全性#密码 人们总是频繁更换密码,但实际上没有什么用。根据目前的情况,良好的双重认证系统是用户所能获得的最佳保护。双重认证系统的另一个优点是用户能获知是否有人在盗用自己的密码。我之前可能说过无数次,如果手机或电子邮件帐户中收到双重验证码,但你并未尝试登录与其关联的帐户,则说明有人在盗用你的密码,正尝试入侵你的帐户。无论什么时候,一旦发现这种情况,请立即更改密码。 哪些帐户应该启用双重认证? 对于在什么时候,在哪些情况下应该启用双重认证,请遵循一个简单的规则:如果相关服务提供了双重认证,并且您认为帐户非常重要,则应该启用双重认证。那么Pinterest(世界上最大的一家图片社交分享网站)呢?我不知道,也许会启用吧。如果我有Pinterest帐户,我不太会愿意每次登录都麻烦地进行双重认证。但是,网银、主次电子邮件(尤其是如果具有专用帐户恢复电子邮件地址)、重要的社交网络(或许是Facebook和Twitter),当然还有AppleID或iCloud,或者任何用于控制安卓设备的帐户(如果有),所有这些都应该通过第二重认证进行保护。 点击此处观看视频。 显然,你还需要考虑是否要为任何工作相关帐户提供第二重认证。如果您是网站管理者,则会希望考虑锁定注册服务帐户,不管此帐户是WordPress、GoDaddy、NameCheap还是其他什么帐户。我们还建议为信用卡或借记卡关联的所有帐户启用双重认证:PayPal、eBay、eTrade等等。同样,启用双重认证的决定应该基于以下考虑:提供相应功能的任何帐户被盗会带来多大的破坏性。 有其他形式的双重认证吗? 目前为止,我们讨论的双重认证是向手机或电子邮件帐户发送验证码,或者通常将U盘与密码一起用于VPN访问。此外,还有钥匙串验证码生成器,例如RSA的SecureID,它一般用于企业环境。目前,这些是主流形式的双重认证。当然,还有其他形式的双重认证。 交易验证码(TAN)是略有些过时的第二重认证形式,在欧洲很流行,我本人实际从未使用过,但如果我的理解没错,此类验证的过程如下:银行会向您提供一张交易验证码表(印在纸上),每次进行网上交易时,都应输入其中一个验证码以进行验证。ATM机是另一种老式双重认证形式。必须同时拥有借记卡和知道PIN密码,方能取现。 最近的报告中有大量内容在讨论利用生物特征识别技术的双重认证。有些系统要求提供密码和指纹、虹膜扫描、心跳或其他一些生物手段。可穿戴设备的发展势头也逐渐增大。一些系统要求佩戴内嵌某种无线射频芯片的特殊手链或其他配饰。我还读到过可用于第二重认证的电磁纹身的相关研究报告。 Google和Facebook都推出了手机应用专用密码生成器,支持用户生成一次性密码,取代短信或电子邮件验证码。 点击此处观看视频。