雙因素身份驗證並非無敵:為什麼使用密碼管理器是您的最佳選擇
當涉及到產品的網絡防禦應該和不應該說什麼時,安全專業人員非常迂腐。如果營銷部門不明智地聲稱某個系統具有“完美”保護,那麼專家將開始執行一項任務,以證明這些說法是錯誤的。你可以非常肯定這將是一次成功的使命。
談到網絡安全,沒有什麼是完美的。例如,依賴於用戶提供的用戶名和密碼的傳統認證機制存在嚴重缺陷。許多人會告訴你,不完美可以通過雙因素認證來解決,但事實是,它也不是沒有缺點。但它們到底是什麼?他們的存在意味著我們應該放棄雙因素身份驗證嗎?
Table of Contents
當技術失敗時
幾週前,最近被評為全球第六大熱門網站的新聞聚合平台Reddit 承認它遭遇了數據洩露。
必須要說的是,這不是世界上最恐怖的網絡攻擊。這些騙子確實設法竊取了一個數據庫,其中包含用戶名,鹽漬和散列密碼,帖子甚至私人消息等內容,但該數據庫在2007年被重新整合,當時Reddit遠沒那麼受歡迎。然而,騙子闖入的方式凸顯了雙因素身份驗證的一個問題 - 事實上它有時依賴於易受攻擊的技術。
首先,黑客竊取了屬於少數Reddit員工的登錄憑據,並在新聞聚合器的託管服務提供商處開設了帳戶。託管服務提供商確實提供了雙因素身份驗證,員工已將其打開,但係統依賴於通過短信發送的臨時代碼,而且很明顯黑客設法獲得了該代碼。 Reddit的代表堅持認為員工的手機上沒有惡意軟件,他們得出的結論是騙子在空中時設法攔截了短信。
它幾乎不是普通的腳本小子可以做的事情,但攔截文本在技術上已經存在了一段時間,黑客既有經驗又有足夠的決心,清楚地知道如何去做。如果他們認為他們可以竊取有價值的信息,他們也會毫不猶豫地攻擊你,這就是為什麼盡可能遠離短信作為第二個因素是一個好主意。即使你選擇了不同的選項,仍然有一件事可能讓你失望:你的食指。
當人們失敗
2017年4月,白帽黑客Kuba Gretzky 展示了繞過雙因素身份驗證的另一種方式,無論系統是否依賴文本消息,該身份驗證都應該有效。首先是攻擊者將受害者重定向到偽造的登錄頁面,該頁面模仿真實登錄頁面的外觀和感覺。
虛假頁面不僅記錄用戶名和密碼。它充當真實登錄表單的代理,並且在受害者提供正確的憑據之前不會繼續下一步. 然後,惡意網站請求受害者必須像往常一樣輸入的第二個因素,並且在完成後,Gretzky設計系統將用戶重定向到默認的Google Drive文檔。
您可能認為虛假登錄頁面竊取了第二因素臨時代碼,但您錯了。整個攻擊圍繞攔截會話cookie,使攻擊者更加自由,因為只要會話cookie處於活動狀態,他們就可以訪問受害者的帳戶,甚至無需輸入用戶名和密碼。
你可能會認為這種攻擊是可能的,因為雙因素身份驗證的工作方式,但事實是,如果用戶沒有點擊鏈接,騙子將無法到達會話cookie附近的任何地方。被重定向到偽造的登錄表單。因此,完全取決於這樣一個事實:人們沒有受到足夠的培訓,並且極易受到網絡釣魚攻擊的影響。
這是否意味著我們應該停止使用雙因素身份驗證?
當然,它沒有。如果您還沒有這樣做,請在提供它的所有服務上啟用它,並確保盡可能使用比SMS更安全的東西。
即使使用最好的雙因素身份驗證系統,您也必須確保儘早停止所有攻擊。這顯然包括為您的所有帳戶使用強大的唯一密碼。最簡單的方法是使用密碼管理器,我們很高興為您提供我們自己的解決方案: Cyclonis密碼管理器 。
使用隨機密碼生成器,您將能夠為所有帳戶創建複雜,唯一的密碼,您無需記住它們,因為它們都將存儲在您的個人加密保險庫中。為了您的方便,有一個瀏覽器擴展可以自動為您填寫登錄憑據,但它只會在合法頁面上執行,這意味著如果您最終在釣魚網站上,該擴展實際上可以幫助您實現某些東西的不太對勁。最重要的是,所有這些都不會花費你一分錢,因為Cyclonis密碼管理器是完全免費的。
安全專家一直在尋找一種萬能的,靈丹妙藥的銀彈,解決我們所有的問題,讓我們享受互聯網而不必擔心潛伏在各個角落的數百萬威脅。如果這樣的事情甚至可能發生,我們還有很長的路要走,直到我們達到它為止。在此之前,安全性仍將取決於多種因素,包括強大的,唯一的密碼,強大的雙因素身份驗證機制,以及我們對單個錯誤點擊可能導致的內容的理解。