Google双因素身份验证并非无敌：如何保护您的密码

任何活动的成功取决于人们如何运用它。如果任何广告系列的公式可以多次应用，我们不妨说它是成功的。不幸的是，那里有好的和坏的活动，而且由于我们在博客中处理网络安全问题，所以我们想讨论一个有可能成为非常讨厌的恶意广告的恶意广告。我们想谈谈可以打击双因素身份验证的网络钓鱼攻击。因此，我们还将研究如何保护您的密码免受此类攻击。

什么是双因素身份验证？

双因素或多因素身份验证是一种身份验证，它使用多个因素来确认用户的身份。最常见的身份验证因素是密码。我们非常清楚密码必须强大且独特，但我们也知道密码可能是安全墙中最薄弱的一块砖，可以保护您的个人信息免受恶意攻击。因此，双因素身份验证提供了额外的安全层，您必须提供另一个身份验证因素。例如，它可能是您收到手机的临时代码。

从技术上讲，这种类型的身份验证应该是安全可靠的。毕竟，还有谁可以使用你的电话号码，但是你，对吧？不幸的是， 国际特赦组织上个月发布的一份报告证明，即使是这种增强的认证系统也不如我们希望的那样安全。

网络钓鱼活动在中东和北非

你可能会对这个副标题感到困惑。北非和中东的随机网络钓鱼活动与我们有什么关系？当然，它似乎相当遥远和无关紧要，但我们必须记住，任何成功的本地网络钓鱼攻击的内部工作方式都可以在全球范围内应用。此外，在某些情况下，这些网络钓鱼活动可能会绕过Google的双因素身份验证，这非常令人担忧。

北非和中东的袭击主要针对上述地区各国的人权维护者（HRDs），记者和政治行动者。有两种类型的攻击。第一种类型的攻击假冒安全电子邮件提供商。受害者被重定向到看起来与Tutanota或ProtonMail页面完全相同的网站。 Tutanota和ProtonMail是该地区受欢迎的电子邮件服务提供商，他们在人权活动家中享有盛誉，因为他们提供“安全电子邮件”服务。

第二种类型的攻击通过使用流行商业网站的克隆来针对Google双因素身份验证。除谷歌外，雅虎用户也是此攻击的目标。

双因素身份验证诈骗如何工作？

诈骗者经常试图说服用户他们的安全性遭到破坏。这些攻击也发生了同样的情况。潜在的受害者通过电子邮件发送垃圾邮件，声称他们的帐户已遭到入侵。电子邮件附带按钮和链接，用户需要点击这些按钮和链接才能更改密码或确认其身份. 点击这些链接和按钮最终会将用户重定向到需要他们登录的虚假Google网站。

当用户登录虚假Google页面时，他们会被重定向到另一个页面，该页面表示已通过短信发送了双因素身份验证代码。这是令人不安的部分。您确实会在用于创建Gmail帐户的电话号码中收到六位数的代码。即使您处于网上诱骗页面，也会在手机中收到短信。因此，您可能不会停下来思考是否要被骗。这就是为什么这种网络钓鱼活动非常危险，如果要在全球范围内传播，那将是非常危险的。

当受影响的用户收到六位数代码并将其输入网络钓鱼页面时，诈骗者会敦促用户更改其Google帐户密码。通过这种方式，诈骗者设法避开Google双因素身份验证。他们甚至设法向受影响的帐户发出密码更改，以进一步“证明”安全警告是真实的。正如你所看到的，这是一个精心设计的社会工程攻击，善于不引起任何怀疑。

如果受害者经历了所有攻击步骤，那么在一天结束时，诈骗者将获得双因素身份验证代码并收集敏感的个人信息，从而使攻击成功。另一方面，这并不意味着我们应该立即废弃Google双因素身份验证，因为它可能会被破坏。

我如何保护我的密码？

没有任何安全措施是100％失败证明，这是我们必须要了解的。因此，仅仅因为某人可以破解多因素身份验证，并不意味着它是无用的。计算机安全专家仍然认为您应该尽可能地启用此类身份验证。您可能还需要考虑使用可以作为多因素身份验证过程一部分的安全令牌的硬件类型。

与此同时，也许我们应该从我们可以采取的最常见步骤开始，以确保我们的个人信息。你有没有想过使用像Cyclonis Password Manager这样的东西？此工具允许您生成并存储所有密码，而无需记住它们。该应用程序为您完成工作。此外，如果您使用与您使用的特定浏览器兼容的Cyclonis浏览器扩展程序，您还可以启用自动填充功能，该功能会在您打开某个页面时填写密码框。

因此，当您需要访问帐户时，此工具可以节省您的时间，而您不再需要担心密码的复杂性。此外，网络钓鱼网站有时会附带用户经常忽略的随机超链接，但自动化工具会立即识别出它不是合法链接，并且自动填充功能甚至无法工作。因此，当您想办法保护密码免受潜在的网络钓鱼攻击时，也许您应该从可靠的密码管理器工具开始。这是迈出的第一步。