雙重認證 也不安全：Gmail、Yahoo mail 已被攻破！

近年來，黑客入侵網路使用者賬號，已經不是什麼稀奇的事情了，甚至包括雅虎、Facebook、Instagram也難逃黑客的魔抓。雙因素認證機制也在這樣的環境中被更多的平臺列為“標配”，目前被認為是最安全的認證機制。

區別於常規的使用者登陸ID+密碼的形式，雙因素認證機制更能認證使用者的身份鑑別，背後所運用的理論是：要進行登入，使用者必須知道某項內容並掌握它。

第一種形式通常是密碼。第二種形式可以是任意認證，例如簡訊或電子郵件驗證碼。

然而，安全專家上週四表示，近期針對美國政府官員、活動家和記者的網路釣魚活動日益猖獗，犯罪分子利用技術手段繞過了被Gmail和Yahoo Mail廣泛使用的雙因素認證保護系統（2FA）。這也意味著，這道被稱為“資料庫安全的第一道防線”的雙因素認證機制中，基於SMS簡訊的防護已經被攻破！

此次釣魚攻擊事件再次表明依賴單次登陸或者一次性密碼的2FA同樣存在風險，尤其是通過SMS簡訊傳送至使用者手機的情況。

安全公司CertfaLab的研究人員在一篇部落格文章中表示，有伊朗政府背景的黑客攻擊者收集了攻擊目標的詳細資訊，並利用了這些資訊撰寫了針對這些目標的釣魚網路郵件。這些郵件中包含一張隱藏照片，在攻擊目標瀏覽該資訊的時候就會自動啟用。

使用者在虛假的Gmail或者Yahoo安全頁面輸入密碼之後，攻擊者幾乎會根據輸入憑證轉向到真實的登陸頁面。如果目標帳戶受到2fa的保護，則攻擊者會將目標重定向到請求一次性密碼的新頁面。

CertfaLab的研究人員寫道：“換句話說，他們會在自己的伺服器上實時檢查受害者的使用者名稱稱和密碼。而且即使啟用了例如簡訊、認證APP或者一鍵式登陸的雙因素認證，仍然能夠欺騙目標並竊取這些資訊。”

在一封郵件中，Certfa Lab發言人稱公司研究人員已經證實該技術能夠成功入侵基於SMS簡訊雙因素保護的賬號。研究人員目前無法確認這項技術能否通過GoogleAuthenticator或者Duo Security配套APP中傳輸一次性密碼。

既然基於SMS簡訊的雙因素保護已經失效，那麼還有哪些形式的雙因素保護可以供服務商和使用者選擇呢？

最常見的雙重認證是向手機或電子郵件帳戶傳送驗證碼，或者將U盤與密碼一起用於VPN訪問。此外，還有鑰匙串驗證碼生成器，例如RSA的SecureID，它一般用於企業環境。目前，這些是主流形式的雙重認證。

交易驗證碼（TAN）是略有些過時的第二重認證形式，在歐洲很流行，此類驗證的過程如下：銀行會向你提供一張交易驗證碼錶（印在紙上），每次進行網上交易時，都應輸入其中一個驗證碼以進行驗證。

ATM機所使用的另一種老式雙重認證形式。必須同時擁有借記卡和知道PIN密碼，方能取現。

除此之外，還有利用生物特徵識別技術的雙重認證。有些系統要求提供密碼和指紋、虹膜掃描、心跳或其他一些生物手段。可穿戴裝置的發展勢頭也逐漸增大，一些系統要求佩戴內嵌某種無線射頻晶片的特殊手鍊或其他配飾。

很多服務商推出了手機應用專用密碼生成器，例如Google和Facebook，支援使用者生成一次性密碼，取代簡訊或電子郵件驗證碼。

雖然雙重認證不能保證帳戶萬無一失，但無論誰想入侵受雙重認證保護的帳戶，它都會是一個難以逾越的障礙。

如果相關服務提供了雙重認證，並且你認為帳戶非常重要，則建議啟用雙重認證。例如：網銀、主次電子郵件（尤其是如果具有專用帳戶恢復電子郵件地址）、重要的社交網路，還有AppleID或iCloud，或者任何用於控制安卓裝置的帳戶，都應該通過第二重認證進行保護。

你覺得哪一種認證模式會受到服務商和使用者的青睞呢？歡迎在下方留言和我們分享你的觀點~

來源：

• cnBeta.COM
  
• kaspersky
  

更多資訊：

• 比特幣勒索捲土重來，罪犯敲詐了 4 個國家，入賬不到 1 美元
• 雙重認證並非100%安全：新技術證實可成功入侵Gmail賬號
• FBI 數萬名特工資訊遭披露，英美法多國情報機構均受影響
• 個人資訊保護立法翹首可期