雙重認證 也不安全:Gmail、Yahoo mail 已被攻破!

Editor發表於2018-12-18

近年來,黑客入侵網路使用者賬號,已經不是什麼稀奇的事情了,甚至包括雅虎、Facebook、Instagram也難逃黑客的魔抓。雙因素認證機制也在這樣的環境中被更多的平臺列為“標配”,目前被認為是最安全的認證機制。


區別於常規的使用者登陸ID+密碼的形式,雙因素認證機制更能認證使用者的身份鑑別,背後所運用的理論是:要進行登入,使用者必須知道某項內容並掌握它。


第一種形式通常是密碼。第二種形式可以是任意認證,例如簡訊或電子郵件驗證碼。


雙重認證 也不安全:Gmail、Yahoo mail 已被攻破!


然而,安全專家上週四表示,近期針對美國政府官員、活動家和記者的網路釣魚活動日益猖獗,犯罪分子利用技術手段繞過了被Gmail和Yahoo Mail廣泛使用的雙因素認證保護系統(2FA)。這也意味著,這道被稱為“資料庫安全的第一道防線”的雙因素認證機制中,基於SMS簡訊的防護已經被攻破!


此次釣魚攻擊事件再次表明依賴單次登陸或者一次性密碼的2FA同樣存在風險,尤其是通過SMS簡訊傳送至使用者手機的情況。


雙重認證 也不安全:Gmail、Yahoo mail 已被攻破!


安全公司CertfaLab的研究人員在一篇部落格文章中表示,有伊朗政府背景的黑客攻擊者收集了攻擊目標的詳細資訊,並利用了這些資訊撰寫了針對這些目標的釣魚網路郵件。這些郵件中包含一張隱藏照片,在攻擊目標瀏覽該資訊的時候就會自動啟用。


使用者在虛假的Gmail或者Yahoo安全頁面輸入密碼之後,攻擊者幾乎會根據輸入憑證轉向到真實的登陸頁面。如果目標帳戶受到2fa的保護,則攻擊者會將目標重定向到請求一次性密碼的新頁面。


CertfaLab的研究人員寫道:“換句話說,他們會在自己的伺服器上實時檢查受害者的使用者名稱稱和密碼。而且即使啟用了例如簡訊、認證APP或者一鍵式登陸的雙因素認證,仍然能夠欺騙目標並竊取這些資訊。”


在一封郵件中,Certfa Lab發言人稱公司研究人員已經證實該技術能夠成功入侵基於SMS簡訊雙因素保護的賬號。研究人員目前無法確認這項技術能否通過GoogleAuthenticator或者Duo Security配套APP中傳輸一次性密碼。


雙重認證 也不安全:Gmail、Yahoo mail 已被攻破!


既然基於SMS簡訊的雙因素保護已經失效,那麼還有哪些形式的雙因素保護可以供服務商和使用者選擇呢?


最常見的雙重認證是向手機或電子郵件帳戶傳送驗證碼,或者將U盤與密碼一起用於VPN訪問。此外,還有鑰匙串驗證碼生成器,例如RSA的SecureID,它一般用於企業環境。目前,這些是主流形式的雙重認證。


交易驗證碼(TAN)是略有些過時的第二重認證形式,在歐洲很流行,此類驗證的過程如下:銀行會向你提供一張交易驗證碼錶(印在紙上),每次進行網上交易時,都應輸入其中一個驗證碼以進行驗證。


ATM機所使用的另一種老式雙重認證形式。必須同時擁有借記卡和知道PIN密碼,方能取現。


除此之外,還有利用生物特徵識別技術的雙重認證。有些系統要求提供密碼和指紋、虹膜掃描、心跳或其他一些生物手段。可穿戴裝置的發展勢頭也逐漸增大,一些系統要求佩戴內嵌某種無線射頻晶片的特殊手鍊或其他配飾。


雙重認證 也不安全:Gmail、Yahoo mail 已被攻破!


很多服務商推出了手機應用專用密碼生成器,例如Google和Facebook,支援使用者生成一次性密碼,取代簡訊或電子郵件驗證碼。


雙重認證 也不安全:Gmail、Yahoo mail 已被攻破!


雖然雙重認證不能保證帳戶萬無一失,但無論誰想入侵受雙重認證保護的帳戶,它都會是一個難以逾越的障礙。


如果相關服務提供了雙重認證,並且你認為帳戶非常重要,則建議啟用雙重認證。例如:網銀、主次電子郵件(尤其是如果具有專用帳戶恢復電子郵件地址)、重要的社交網路,還有AppleID或iCloud,或者任何用於控制安卓裝置的帳戶,都應該通過第二重認證進行保護。


你覺得哪一種認證模式會受到服務商和使用者的青睞呢?歡迎在下方留言和我們分享你的觀點~


來源:

  • cnBeta.COM
  • kaspersky



更多資訊:


相關文章