雙因素身份驗證並非無敵：為什麼使用密碼管理器是您的最佳選擇

當涉及到產品的網絡防禦應該和不應該說什麼時，安全專業人員非常迂腐。如果營銷部門不明智地聲稱某個系統具有“完美”保護，那麼專家將開始執行一項任務，以證明這些說法是錯誤的。你可以非常肯定這將是一次成功的使命。

談到網絡安全，沒有什麼是完美的。例如，依賴於用戶提供的用戶名和密碼的傳統認證機制存在嚴重缺陷。許多人會告訴你，不完美可以通過雙因素認證來解決，但事實是，它也不是沒有缺點。但它們到底是什麼？他們的存在意味著我們應該放棄雙因素身份驗證嗎？

當技術失敗時

幾週前，最近被評為全球第六大熱門網站的新聞聚合平台Reddit 承認它遭遇了數據洩露。

必須要說的是，這不是世界上最恐怖的網絡攻擊。這些騙子確實設法竊取了一個數據庫，其中包含用戶名，鹽漬和散列密碼，帖子甚至私人消息等內容，但該數據庫在2007年被重新整合，當時Reddit遠沒那麼受歡迎。然而，騙子闖入的方式凸顯了雙因素身份驗證的一個問題 - 事實上它有時依賴於易受攻擊的技術。

首先，黑客竊取了屬於少數Reddit員工的登錄憑據，並在新聞聚合器的託管服務提供商處開設了帳戶。託管服務提供商確實提供了雙因素身份驗證，員工已將其打開，但係統依賴於通過短信發送的臨時代碼，而且很明顯黑客設法獲得了該代碼。 Reddit的代表堅持認為員工的手機上沒有惡意軟件，他們得出的結論是騙子在空中時設法攔截了短信。

它幾乎不是普通的腳本小子可以做的事情，但攔截文本在技術上已經存在了一段時間，黑客既有經驗又有足夠的決心，清楚地知道如何去做。如果他們認為他們可以竊取有價值的信息，他們也會毫不猶豫地攻擊你，這就是為什麼盡可能遠離短信作為第二個因素是一個好主意。即使你選擇了不同的選項，仍然有一件事可能讓你失望：你的食指。

當人們失敗

2017年4月，白帽黑客Kuba Gretzky 展示了繞過雙因素身份驗證的另一種方式，無論系統是否依賴文本消息，該身份驗證都應該有效。首先是攻擊者將受害者重定向到偽造的登錄頁面，該頁面模仿真實登錄頁面的外觀和感覺。

虛假頁面不僅記錄用戶名和密碼。它充當真實登錄表單的代理，並且在受害者提供正確的憑據之前不會繼續下一步. 然後，惡意網站請求受害者必須像往常一樣輸入的第二個因素，並且在完成後，Gretzky設計系統將用戶重定向到默認的Google Drive文檔。

您可能認為虛假登錄頁面竊取了第二因素臨時代碼，但您錯了。整個攻擊圍繞攔截會話cookie，使攻擊者更加自由，因為只要會話cookie處於活動狀態，他們就可以訪問受害者的帳戶，甚至無需輸入用戶名和密碼。

你可能會認為這種攻擊是可能的，因為雙因素身份驗證的工作方式，但事實是，如果用戶沒有點擊鏈接，騙子將無法到達會話cookie附近的任何地方。被重定向到偽造的登錄表單。因此，完全取決於這樣一個事實：人們沒有受到足夠的培訓，並且極易受到網絡釣魚攻擊的影響。

這是否意味著我們應該停止使用雙因素身份驗證？

當然，它沒有。如果您還沒有這樣做，請在提供它的所有服務上啟用它，並確保盡可能使用比SMS更安全的東西。

即使使用最好的雙因素身份驗證系統，您也必須確保儘早停止所有攻擊。這顯然包括為您的所有帳戶使用強大的唯一密碼。最簡單的方法是使用密碼管理器，我們很高興為您提供我們自己的解決方案： Cyclonis密碼管理器 。

使用隨機密碼生成器，您將能夠為所有帳戶創建複雜，唯一的密碼，您無需記住它們，因為它們都將存儲在您的個人加密保險庫中。為了您的方便，有一個瀏覽器擴展可以自動為您填寫登錄憑據，但它只會在合法頁面上執行，這意味著如果您最終在釣魚網站上，該擴展實際上可以幫助您實現某些東西的不太對勁。最重要的是，所有這些都不會花費你一分錢，因為Cyclonis密碼管理器是完全免費的。

安全專家一直在尋找一種萬能的，靈丹妙藥的銀彈，解決我們所有的問題，讓我們享受互聯網而不必擔心潛伏在各個角落的數百萬威脅。如果這樣的事情甚至可能發生，我們還有很長的路要走，直到我們達到它為止。在此之前，安全性仍將取決於多種因素，包括強大的，唯一的密碼，強大的雙因素身份驗證機制，以及我們對單個錯誤點擊可能導致的內容的理解。