當前,隨著網絡安全威脅的日益加深,關于用戶的安全認證機制也逐步完善中。為了降低傳統單因子驗證(One-factor authentication,2FA)如靜態密碼等帶來的不可靠性,目前雙因子認證機制(Two-factor authentication)已成為加強用戶安全性的主流。
雙因子認證也不可靠 警惕社會工程學攻擊
什么是雙因子認證?
簡單而言,雙因子認證就是通過兩種獨立不相關的證據來證明訪問者的身份。
根據密碼學理論,在數字世界里,獨立不相關的證據可以來自于以下三方面因素:你所知道的(如密碼或身份證號碼)、你所擁有的(如USB Key或磁卡)或者是你自己的生物體征(如指紋、瞳孔或聲音等)。
雙因子認證機制已成主流化
如果單獨來看以上各因素的話,在安全上都會存在脆弱性。而一旦將其中的兩種要素結合起來,則會大大提升身份認證的安全性。因此,雙因子認證便成為目前有效提高系統訪問控制安全的一種常用手段。
不過,即使再強大的安全認證,在人為操作下都會有泄露的風險。因此,面對防不勝防的社會工程學攻擊,雙因子認證也有被繞過的風險,隨時變成毫無用處的“馬奇諾防線”。
警惕無孔不入的社會工程學攻擊
在計算機科學中,社會工程學指的是通過與他人的合法地交流,來使其心理受到影響,做出某些動作或者是透露一些機密信息的方式。其通常被認為是一種欺詐他人以收集信息、行騙和入侵計算機系統的行為,如人們較為熟知的釣魚攻擊等形態。
近日,國外一家大數據初創企業的聯合創始人就遭遇了釣魚攻擊,隨后他在Twitter上做了關于“黑客可繞過谷歌郵箱的雙因子身份驗證對用戶攻擊”的博文分享,來提醒廣大網民增強防范意識。
在他看來,攻擊者首先可通過撞庫或黑市購買獲得谷歌郵箱用戶的登錄名和密碼。隨后便會向受害者發送釣魚短信(假裝谷歌公司發出)來欺騙目標用戶提供雙因子身份驗證碼來暫時鎖定他們的賬號。而一旦用戶將接收到的2FA驗證碼反饋給攻擊者,攻擊者實際上就掌握了該郵箱的實際訪問權限了。
因此,為了有效防止遭受釣魚攻擊,用戶需要注意以下幾點。首先,你是否正在進行郵箱的登錄操作,不是的話,千萬不要給予回復。其次,正規公司的技術人員不會向用戶索要雙因子認證的驗證碼。最后需要注意的是,雙因子認證不是用來鎖定賬號的,而是用來獲取賬號訪問權限的。
京公網安備 11010502049343號