當(dāng)前,隨著網(wǎng)絡(luò)安全威脅的日益加深,關(guān)于用戶的安全認(rèn)證機(jī)制也逐步完善中。為了降低傳統(tǒng)單因子驗(yàn)證(One-factor authentication,2FA)如靜態(tài)密碼等帶來的不可靠性,目前雙因子認(rèn)證機(jī)制(Two-factor authentication)已成為加強(qiáng)用戶安全性的主流。
雙因子認(rèn)證也不可靠 警惕社會工程學(xué)攻擊
什么是雙因子認(rèn)證?
簡單而言,雙因子認(rèn)證就是通過兩種獨(dú)立不相關(guān)的證據(jù)來證明訪問者的身份。
根據(jù)密碼學(xué)理論,在數(shù)字世界里,獨(dú)立不相關(guān)的證據(jù)可以來自于以下三方面因素:你所知道的(如密碼或身份證號碼)、你所擁有的(如USB Key或磁卡)或者是你自己的生物體征(如指紋、瞳孔或聲音等)。
雙因子認(rèn)證機(jī)制已成主流化
如果單獨(dú)來看以上各因素的話,在安全上都會存在脆弱性。而一旦將其中的兩種要素結(jié)合起來,則會大大提升身份認(rèn)證的安全性。因此,雙因子認(rèn)證便成為目前有效提高系統(tǒng)訪問控制安全的一種常用手段。
不過,即使再強(qiáng)大的安全認(rèn)證,在人為操作下都會有泄露的風(fēng)險。因此,面對防不勝防的社會工程學(xué)攻擊,雙因子認(rèn)證也有被繞過的風(fēng)險,隨時變成毫無用處的“馬奇諾防線”。
警惕無孔不入的社會工程學(xué)攻擊
在計(jì)算機(jī)科學(xué)中,社會工程學(xué)指的是通過與他人的合法地交流,來使其心理受到影響,做出某些動作或者是透露一些機(jī)密信息的方式。其通常被認(rèn)為是一種欺詐他人以收集信息、行騙和入侵計(jì)算機(jī)系統(tǒng)的行為,如人們較為熟知的釣魚攻擊等形態(tài)。
近日,國外一家大數(shù)據(jù)初創(chuàng)企業(yè)的聯(lián)合創(chuàng)始人就遭遇了釣魚攻擊,隨后他在Twitter上做了關(guān)于“黑客可繞過谷歌郵箱的雙因子身份驗(yàn)證對用戶攻擊”的博文分享,來提醒廣大網(wǎng)民增強(qiáng)防范意識。
在他看來,攻擊者首先可通過撞庫或黑市購買獲得谷歌郵箱用戶的登錄名和密碼。隨后便會向受害者發(fā)送釣魚短信(假裝谷歌公司發(fā)出)來欺騙目標(biāo)用戶提供雙因子身份驗(yàn)證碼來暫時鎖定他們的賬號。而一旦用戶將接收到的2FA驗(yàn)證碼反饋給攻擊者,攻擊者實(shí)際上就掌握了該郵箱的實(shí)際訪問權(quán)限了。
因此,為了有效防止遭受釣魚攻擊,用戶需要注意以下幾點(diǎn)。首先,你是否正在進(jìn)行郵箱的登錄操作,不是的話,千萬不要給予回復(fù)。其次,正規(guī)公司的技術(shù)人員不會向用戶索要雙因子認(rèn)證的驗(yàn)證碼。最后需要注意的是,雙因子認(rèn)證不是用來鎖定賬號的,而是用來獲取賬號訪問權(quán)限的。