双因素身份验证并非无敌:为什么使用密码管理器是您的最佳选择

Two-Factor Authentication Is Not Invincible

当涉及到产品的网络防御应该和不应该说什么时,安全专业人员非常迂腐。如果营销部门不明智地声称某个系统具有“完美”保护,那么专家将开始执行一项任务,以证明这些说法是错误的。你可以非常肯定这将是一次成功的使命。

谈到网络安全,没有什么是完美的。例如,依赖于用户提供的用户名和密码的传统认证机制存在严重缺陷。许多人会告诉你,不完美可以通过双因素认证来解决,但事实是,它也不是没有缺点。但它们到底是什么?他们的存在意味着我们应该放弃双因素身份验证吗?

当技术失败时

几周前,最近被评为全球第六大热门网站的新闻聚合平台Reddit 承认它遭遇了数据泄露。

必须要说的是,这不是世界上最恐怖的网络攻击。这些骗子确实设法窃取了一个数据库,其中包含用户名,盐渍和散列密码,帖子甚至私人消息等内容,但该数据库在2007年被重新整合,当时Reddit远没那么受欢迎。然而,骗子闯入的方式凸显了双因素身份验证的一个问题 - 事实上它有时依赖于易受攻击的技术。

首先,黑客窃取了属于少数Reddit员工的登录凭据,并在新闻聚合器的托管服务提供商处开设了帐户。托管服务提供商确实提供了双因素身份验证,员工已将其打开,但系统依赖于通过短信发送的临时代码,而且很明显黑客设法获得了该代码。 Reddit的代表坚持认为员工的手机上没有恶意软件,他们得出的结论是骗子在空中时设法拦截了短信。

它几乎不是普通的脚本小子可以做的事情,但拦截文本在技术上已经存在了一段时间,黑客既有经验又有足够的决心,清楚地知道如何去做。如果他们认为他们可以窃取有价值的信息,他们也会毫不犹豫地攻击你,这就是为什么尽可能远离短信作为第二个因素是一个好主意。即使你选择了不同的选项,仍然有一件事可能让你失望:你的食指。

当人们失败

2017年4月,白帽黑客Kuba Gretzky 展示了绕过双因素身份验证的另一种方式,无论系统是否依赖文本消息,该身份验证都应该有效。首先是攻击者将受害者重定向到伪造的登录页面,该页面模仿真实登录页面的外观和感觉。

虚假页面不仅记录用户名和密码。它充当真实登录表单的代理,并且在受害者提供正确的凭据之前不会继续下一步. 然后,恶意网站请求受害者必须像往常一样输入的第二个因素,并且在完成后,Gretzky设计系统将用户重定向到默认的Google Drive文档。

您可能认为虚假登录页面窃取了第二因素临时代码,但您错了。整个攻击围绕拦截会话cookie,使攻击者更加自由,因为只要会话cookie处于活动状态,他们就可以访问受害者的帐户,甚至无需输入用户名和密码。

你可能会认为这种攻击是可能的,因为双因素身份验证的工作方式,但事实是,如果用户没有点击链接,骗子将无法到达会话cookie附近的任何地方。被重定向到伪造的登录表单。因此,完全取决于这样一个事实:人们没有受到足够的培训,并且极易受到网络钓鱼攻击的影响。

这是否意味着我们应该停止使用双因素身份验证?

当然,它没有。如果您还没有这样做,请在提供它的所有服务上启用它,并确保尽可能使用比SMS更安全的东西。

即使使用最好的双因素身份验证系统,您也必须确保尽早停止所有攻击。这显然包括为您的所有帐户使用强大的唯一密码。最简单的方法是使用密码管理器,我们很高兴为您提供我们自己的解决方案: Cyclonis密码管理器

使用随机密码生成器,您将能够为所有帐户创建复杂,唯一的密码,您无需记住它们,因为它们都将存储在您的个人加密保险库中。为了您的方便,有一个浏览器扩展可以自动为您填写登录凭据,但它只会在合法页面上执行,这意味着如果您最终在钓鱼网站上,该扩展实际上可以帮助您实现某些东西的不太对劲。最重要的是,所有这些都不会花费你一分钱,因为Cyclonis密码管理器是完全免费的。

安全专家一直在寻找一种万能的,灵丹妙药的银弹,解决我们所有的问题,让我们享受互联网而不必担心潜伏在各个角落的数百万威胁。如果这样的事情甚至可能发生,我们还有很长的路要走,直到我们达到它为止。在此之前,安全性仍将取决于多种因素,包括强大的,唯一的密码,强大的双因素身份验证机制,以及我们对单个错误点击可能导致的内容的理解。

May 20, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
10 + 2是什么?