如果黑客可以拦截您的邮件,双因素SMS身份验证将无法保护您

SMS 2FA

为简单起见,专家经常将双因素身份验证 (2FA)描述为一种系统,只有当您提供您所知道的内容以及您拥有的内容时 ,才能登录到您的帐户。

知道的事情很明显 - 正确的用户名和密码组合。然而,你所拥有的是一个不同的故事。除了少数例外,您实际上并没有提供与您有关的东西。您通常输入一个临时代码,以某种方式出现在您拥有的设备 。你随时随身携带哪种设备?没错,你的手机。

短信和双因素身份验证

将临时密码发送到您的手机是一个明显的解决方案。它很快,价格便宜,而且有一段时间没有其他选择。到目前为止,有许多在线服务提供这种双因素身份验证,许多人使用它,认为这是世界上最明智的事情。

然而,安全专家已经怀疑了一段时间。问题是,当他们表达他们的担忧时,他们经常因过度偏执而受到批评,必须说,他们一些人所描述的场景一次又一次都不合理,特别是对于普通用户而言。然而,在短信和双因素认证的情况下,恐惧是建立在关于所讨论技术的冷酷事实上的,并且不应轻易驳回它们。

SS7 - 我们仍然用来发送和接收短信的古老技术

7号信令系统(SS7)是我们用过的协议集合,其中包括自第一部手机问世以来发送的短信。实际的协议是在1975年开发的,就像任何已有四十多年历史的技术一样,它们也被证明有一两个缺点。

从安全的角度来看,事情特别令人担忧,特别是在过去十年左右。自2008年以来,专家一直在谈论SS7漏洞,第一个漏洞允许跟踪受害者,后来发现让骗子前进并拦截呼叫和消息。理论上,只有电信提供商才能访问SS7网络,但实际上,任何人都可以进入地下市场并购买可以让他们浏览信息流的工具。

一旦他们发现了第一个漏洞,专家们就认为SS7不足以保护用户的隐私,并表示更现代的东西应该取而代之。然而,显然,电信提供商认为威胁并不严重,安全社区的呼声被忽略了。 2017年,不可避免的事情发生了。

欧洲移动服务提供商O2-Telefonica的德国分公司承认 ,在犯罪分子利用SS7网络中的漏洞后,其部分客户的银行账户已经耗尽。首先,黑客利用社交工程技术诱骗受害者在他们的计算机上安装恶意软件。有了被盗的用户名,密码和电话号码,骗子们试图在半夜登录用户的帐户。然后,他们用双因素认证码拦截了短信,并成功地抽走了钱。

事件发生后,更多的人开始推动更新技术来取代SS7,但事实是,目前,我们根本就没有替代方案. 这与SIM交换的威胁一起使SMS成为传输2FA代码的媒介,而不是完美的。这是否意味着在任何情况下都不应该使用SMS双因素身份验证?

SMS双因素身份验证优于无双因素身份验证

SMS,特别是当它用于像2FA代码一样敏感的东西时,它有它的缺点。然而,必须要说的是,有些人对这些警告感到有些不知所措。事实上,SS7攻击不仅仅是理论上的可能性,而是生活中的事实,正如O2-Telefonica的客户可以证明的那样。这种类型的犯罪只能由复杂的黑客团体实施,他们都是高技能和高度积极性的。与普遍看法相反,周围的人并不多。大多数捕获用户的网络犯罪分子既没有知识也没有资源来解决这种攻击。 SIM交换也是如此。

在任何情况下,即使他们足够熟练地拦截文本消息,通过启用双因素身份验证,您至少会使他们的生活更加艰难。这总是一件好事。

你现在应该知道有一些选择。像Google身份验证器这样的双因素身份验证应用会在本地生成代码,这意味着骗子无法拦截它们。如果您想要更安全,您可以随时查看U2F身份验证令牌

即使这些选项也不是完美无缺的,但是,特别是如果你保护像电子邮件或网上银行账户这样重要的东西,他们的工作要比短信好得多。检查您使用的所有服务的2FA选项,如果您可以选择比短信更安全的内容,请确保这样做。即使SMS是唯一选项,也应确保启用了2FA。

January 28, 2019
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。