如果黑客可以攔截您的郵件,雙因素SMS身份驗證將無法保護您

SMS 2FA

為簡單起見,專家經常將雙因素身份驗證 (2FA)描述為一種系統,只有當您提供您所知道的內容以及您擁有的內容時 ,才能登錄到您的帳戶。

知道的事情很明顯 - 正確的用戶名和密碼組合。然而,你所擁有的是一個不同的故事。除了少數例外,您實際上並沒有提供與您有關的東西。您通常輸入一個臨時代碼,以某種方式出現在您擁有的設備 。你隨時隨身攜帶哪種設備?沒錯,你的手機。

短信和雙因素身份驗證

將臨時密碼發送到您的手機是一個明顯的解決方案。它很快,價格便宜,而且有一段時間沒有其他選擇。到目前為止,有許多在線服務提供這種雙因素身份驗證,許多人使用它,認為這是世界上最明智的事情。

然而,安全專家已經懷疑了一段時間。問題是,當他們表達他們的擔憂時,他們經常因過度偏執而受到批評,必須說,他們一些人所描述的場景一次又一次都不合理,特別是對於普通用戶而言。然而,在短信和雙因素認證的情況下,恐懼是建立在關於所討論技術的冷酷事實上的,並且不應輕易駁回它們。

SS7 - 我們仍然用來發送和接收短信的古老技術

7號信令系統(SS7)是我們用過的協議集合,其中包括自第一部手機問世以來發送的短信。實際的協議是在1975年開發的,就像任何已有四十多年曆史的技術一樣,它們也被證明有一兩個缺點。

從安全的角度來看,事情特別令人擔憂,特別是在過去十年左右。自2008年以來,專家一直在談論SS7漏洞,第一個漏洞允許跟踪受害者,後來發現讓騙子前進並攔截呼叫和消息。理論上,只有電信提供商才能訪問SS7網絡,但實際上,任何人都可以進入地下市場併購買可以讓他們瀏覽信息流的工具。

一旦他們發現了第一個漏洞,專家們就認為SS7不足以保護用戶的隱私,並表示更現代的東西應該取而代之。然而,顯然,電信提供商認為威脅並不嚴重,安全社區的呼聲被忽略了。 2017年,不可避免的事情發生了。

歐洲移動服務提供商O2-Telefonica的德國分公司承認 ,在犯罪分子利用SS7網絡中的漏洞後,其部分客戶的銀行賬戶已經耗盡。首先,黑客利用社交工程技術誘騙受害者在他們的計算機上安裝惡意軟件。有了被盜的用戶名,密碼和電話號碼,騙子們試圖在半夜登錄用戶的帳戶。然後,他們用雙因素認證碼攔截了短信,並成功地抽走了錢。

事件發生後,更多的人開始推動更新技術來取代SS7,但事實是,目前,我們根本就沒有替代方案. 這與SIM交換的威脅一起使SMS成為傳輸2FA代碼的媒介,而不是完美的。這是否意味著在任何情況下都不應該使用SMS雙因素身份驗證?

SMS雙因素身份驗證優於無雙因素身份驗證

SMS,特別是當它用於像2FA代碼一樣敏感的東西時,它有它的缺點。然而,必須要說的是,有些人對這些警告感到有些不知所措。事實上,SS7攻擊不僅僅是理論上的可能性,而是生活中的事實,正如O2-Telefonica的客戶可以證明的那樣。這種類型的犯罪只能由複雜的黑客團體實施,他們都是高技能和高度積極性的。與普遍看法相反,周圍的人並不多。大多數捕獲用戶的網絡犯罪分子既沒有知識也沒有資源來解決這種攻擊。 SIM交換也是如此。

在任何情況下,即使他們足夠熟練地攔截文本消息,通過啟用雙因素身份驗證,您至少會使他們的生活更加艱難。這總是一件好事。

你現在應該知道有一些選擇。像Google身份驗證器這樣的雙因素身份驗證應用會在本地生成代碼,這意味著騙子無法攔截它們。如果您想要更安全,您可以隨時查看U2F身份驗證令牌

即使這些選項也不是完美無缺的,但是,特別是如果你保護像電子郵件或網上銀行賬戶這樣重要的東西,他們的工作要比短信好得多。檢查您使用的所有服務的2FA選項,如果您可以選擇比短信更安全的內容,請確保這樣做。即使SMS是唯一選項,也應確保啟用了2FA。

January 28, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
7 + 9是什麼?