双因素身份验证并非无敌：为什么使用密码管理器是您的最佳选择

当涉及到产品的网络防御应该和不应该说什么时，安全专业人员非常迂腐。如果营销部门不明智地声称某个系统具有“完美”保护，那么专家将开始执行一项任务，以证明这些说法是错误的。你可以非常肯定这将是一次成功的使命。

谈到网络安全，没有什么是完美的。例如，依赖于用户提供的用户名和密码的传统认证机制存在严重缺陷。许多人会告诉你，不完美可以通过双因素认证来解决，但事实是，它也不是没有缺点。但它们到底是什么？他们的存在意味着我们应该放弃双因素身份验证吗？

当技术失败时

几周前，最近被评为全球第六大热门网站的新闻聚合平台Reddit 承认它遭遇了数据泄露。

必须要说的是，这不是世界上最恐怖的网络攻击。这些骗子确实设法窃取了一个数据库，其中包含用户名，盐渍和散列密码，帖子甚至私人消息等内容，但该数据库在2007年被重新整合，当时Reddit远没那么受欢迎。然而，骗子闯入的方式凸显了双因素身份验证的一个问题 - 事实上它有时依赖于易受攻击的技术。

首先，黑客窃取了属于少数Reddit员工的登录凭据，并在新闻聚合器的托管服务提供商处开设了帐户。托管服务提供商确实提供了双因素身份验证，员工已将其打开，但系统依赖于通过短信发送的临时代码，而且很明显黑客设法获得了该代码。 Reddit的代表坚持认为员工的手机上没有恶意软件，他们得出的结论是骗子在空中时设法拦截了短信。

它几乎不是普通的脚本小子可以做的事情，但拦截文本在技术上已经存在了一段时间，黑客既有经验又有足够的决心，清楚地知道如何去做。如果他们认为他们可以窃取有价值的信息，他们也会毫不犹豫地攻击你，这就是为什么尽可能远离短信作为第二个因素是一个好主意。即使你选择了不同的选项，仍然有一件事可能让你失望：你的食指。

当人们失败

2017年4月，白帽黑客Kuba Gretzky 展示了绕过双因素身份验证的另一种方式，无论系统是否依赖文本消息，该身份验证都应该有效。首先是攻击者将受害者重定向到伪造的登录页面，该页面模仿真实登录页面的外观和感觉。

虚假页面不仅记录用户名和密码。它充当真实登录表单的代理，并且在受害者提供正确的凭据之前不会继续下一步. 然后，恶意网站请求受害者必须像往常一样输入的第二个因素，并且在完成后，Gretzky设计系统将用户重定向到默认的Google Drive文档。

您可能认为虚假登录页面窃取了第二因素临时代码，但您错了。整个攻击围绕拦截会话cookie，使攻击者更加自由，因为只要会话cookie处于活动状态，他们就可以访问受害者的帐户，甚至无需输入用户名和密码。

你可能会认为这种攻击是可能的，因为双因素身份验证的工作方式，但事实是，如果用户没有点击链接，骗子将无法到达会话cookie附近的任何地方。被重定向到伪造的登录表单。因此，完全取决于这样一个事实：人们没有受到足够的培训，并且极易受到网络钓鱼攻击的影响。

这是否意味着我们应该停止使用双因素身份验证？

当然，它没有。如果您还没有这样做，请在提供它的所有服务上启用它，并确保尽可能使用比SMS更安全的东西。

即使使用最好的双因素身份验证系统，您也必须确保尽早停止所有攻击。这显然包括为您的所有帐户使用强大的唯一密码。最简单的方法是使用密码管理器，我们很高兴为您提供我们自己的解决方案： Cyclonis密码管理器 。

使用随机密码生成器，您将能够为所有帐户创建复杂，唯一的密码，您无需记住它们，因为它们都将存储在您的个人加密保险库中。为了您的方便，有一个浏览器扩展可以自动为您填写登录凭据，但它只会在合法页面上执行，这意味着如果您最终在钓鱼网站上，该扩展实际上可以帮助您实现某些东西的不太对劲。最重要的是，所有这些都不会花费你一分钱，因为Cyclonis密码管理器是完全免费的。

安全专家一直在寻找一种万能的，灵丹妙药的银弹，解决我们所有的问题，让我们享受互联网而不必担心潜伏在各个角落的数百万威胁。如果这样的事情甚至可能发生，我们还有很长的路要走，直到我们达到它为止。在此之前，安全性仍将取决于多种因素，包括强大的，唯一的密码，强大的双因素身份验证机制，以及我们对单个错误点击可能导致的内容的理解。