Google雙因素身份驗證並非無敵：如何保護您的密碼

任何活動的成功取決於人們如何運用它。如果任何廣告系列的公式可以多次應用，我們不妨說它是成功的。不幸的是，那裡有好的和壞的活動，而且由於我們在博客中處理網絡安全問題，所以我們想討論一個有可能成為非常討厭的惡意廣告的惡意廣告。我們想談談可以打擊雙因素身份驗證的網絡釣魚攻擊。因此，我們還將研究如何保護您的密碼免受此類攻擊。

什麼是雙因素身份驗證？

雙因素或多因素身份驗證是一種身份驗證，它使用多個因素來確認用戶的身份。最常見的身份驗證因素是密碼。我們非常清楚密碼必須強大且獨特，但我們也知道密碼可能是安全牆中最薄弱的一塊磚，可以保護您的個人信息免受惡意攻擊。因此，雙因素身份驗證提供了額外的安全層，您必須提供另一個身份驗證因素。例如，它可能是您收到手機的臨時代碼。

從技術上講，這種類型的身份驗證應該是安全可靠的。畢竟，還有誰可以使用你的電話號碼，但是你，對吧？不幸的是， 國際特赦組織上個月發布的一份報告證明，即使是這種增強的認證系統也不如我們希望的那樣安全。

網絡釣魚活動在中東和北非

你可能會對這個副標題感到困惑。北非和中東的隨機網絡釣魚活動與我們有什麼關係？當然，它似乎相當遙遠和無關緊要，但我們必須記住，任何成功的本地網絡釣魚攻擊的內部工作方式都可以在全球範圍內應用。此外，在某些情況下，這些網絡釣魚活動可能會繞過Google的雙因素身份驗證，這非常令人擔憂。

北非和中東的襲擊主要針對上述地區各國的人權維護者（HRDs），記者和政治行動者。有兩種類型的攻擊。第一種類型的攻擊假冒安全電子郵件提供商。受害者被重定向到看起來與Tutanota或ProtonMail頁面完全相同的網站。 Tutanota和ProtonMail是該地區受歡迎的電子郵件服務提供商，他們在人權活動家中享有盛譽，因為他們提供“安全電子郵件”服務。

第二種類型的攻擊通過使用流行商業網站的克隆來針對Google雙因素身份驗證。除谷歌外，雅虎用戶也是此攻擊的目標。

雙因素身份驗證詐騙如何工作？

詐騙者經常試圖說服用戶他們的安全性遭到破壞。這些攻擊也發生了同樣的情況。潛在的受害者通過電子郵件發送垃圾郵件，聲稱他們的帳戶已遭到入侵。電子郵件附帶按鈕和鏈接，用戶需要點擊這些按鈕和鏈接才能更改密碼或確認其身份. 點擊這些鏈接和按鈕最終會將用戶重定向到需要他們登錄的虛假Google網站。

當用戶登錄虛假Google頁面時，他們會被重定向到另一個頁面，該頁面表示已通過短信發送了雙因素身份驗證代碼。這是令人不安的部分。您確實會在用於創建Gmail帳戶的電話號碼中收到六位數的代碼。即使您處於網上誘騙頁面，也會在手機中收到短信。因此，您可能不會停下來思考是否要被騙。這就是為什麼這種網絡釣魚活動非常危險，如果要在全球範圍內傳播，那將是非常危險的。

當受影響的用戶收到六位數代碼並將其輸入網絡釣魚頁面時，詐騙者會敦促用戶更改其Google帳戶密碼。通過這種方式，詐騙者設法避開Google雙因素身份驗證。他們甚至設法向受影響的帳戶發出密碼更改，以進一步“證明”安全警告是真實的。正如你所看到的，這是一個精心設計的社會工程攻擊，善於不引起任何懷疑。

如果受害者經歷了所有攻擊步驟，那麼在一天結束時，詐騙者將獲得雙因素身份驗證代碼並收集敏感的個人信息，從而使攻擊成功。另一方面，這並不意味著我們應該立即廢棄Google雙因素身份驗證，因為它可能會被破壞。

我如何保護我的密碼？

沒有任何安全措施是100％失敗證明，這是我們必須要了解的。因此，僅僅因為某人可以破解多因素身份驗證，並不意味著它是無用的。計算機安全專家仍然認為您應該盡可能地啟用此類身份驗證。您可能還需要考慮使用可以作為多因素身份驗證過程一部分的安全令牌的硬件類型。

與此同時，也許我們應該從我們可以採取的最常見步驟開始，以確保我們的個人信息。你有沒有想過使用像Cyclonis Password Manager這樣的東西？此工具允許您生成並存儲所有密碼，而無需記住它們。該應用程序為您完成工作。此外，如果您使用與您使用的特定瀏覽器兼容的Cyclonis瀏覽器擴展程序，您還可以啟用自動填充功能，該功能會在您打開某個頁面時填寫密碼框。

因此，當您需要訪問帳戶時，此工具可以節省您的時間，而您不再需要擔心密碼的複雜性。此外，網絡釣魚網站有時會附帶用戶經常忽略的隨機超鏈接，但自動化工具會立即識別出它不是合法鏈接，並且自動填充功能甚至無法工作。因此，當您想辦法保護密碼免受潛在的網絡釣魚攻擊時，也許您應該從可靠的密碼管理器工具開始。這是邁出的第一步。