如何解決兩因素和多因素身份驗證的大問題

在醫學和終端使用者網路安全方面，獲得第二種意見是一個好主意。雙因素認證(2FA)和多因素認證(MFA)是打擊涉及終端使用者裝置和基於網際網路服務的各種網路攻擊的有力工具。

但是有一個大問題：人們使用簡訊作為第二要素的情況過於普遍。這就把電話號碼變成了數字身份裝置——它們被設計成一個糟糕的角色。如果有人丟失了智慧手機或被盜取，他們也就失去了認證的機會。更糟糕的是，攻擊者可以將電話號碼轉讓給另一個人，而這個人現在會收到認證請求。下面是如何解決2FA和MFA手機問題的方法。

雙因素和多因素認證如何工作

這兩種預防措施都是透過使用一個以上的 "認證因素 "來工作。這個因素可以是使用者知道的、擁有的或者是他們身份的一部分(如指紋)。

最常見的組合之一是使用者名稱和密碼(使用者知道的東西)，加上透過簡訊發給使用者的智慧手機的資訊、連結或程式碼(使用者擁有的東西)。

但也有其他的。認證因素可以是一個密碼、一項個人瑣事(例如母親的姓名)、一個鑰匙扣、臉部資訊或其他許多因素。

現實生活中的多因素認證

這種情況每天都會發生上百萬次。一個使用者忘記了密碼，或者選擇了改變密碼。或者他們從不同的地方訪問一個網站，或者使用不同的裝置，或者在一個網站上按固定的時間表檢查使用者。因此，網站透過簡訊向使用者的手機傳送一個程式碼、連結或密碼。

這樣做的問題是，它假設只有原始的、誠實的使用者才有可能獲得與簡訊配對的電話號碼。而這是一個糟糕的假設。

在過去，人們假設只有原始簽名人能夠以他們的方式寫出他們的簽名。那是一個相當好的假設。當我們假設只有真正的使用者可以擁有註冊的臉部或指紋時，這也是一個相當好的假設。但擁有一個電話號碼?就不是那麼回事了。

事實證明，威脅者可以找出無線供應商網站上的哪些電話號碼是 "回收 "的號碼(曾經使用過但現在放棄了)。然後，他們可以與洩露的登入憑證相匹配，在暗網上出售。透過獲得這些電話號碼，他們可以透過重新設定密碼(用新的電話號碼確認)來劫持賬戶。

回收的電話號碼的問題

有研究人員抽查了美國兩家無線運營商提供的259個電話號碼。他們發現，其中171個號碼與不同網站的現有賬戶相匹配，100個號碼與網上洩露的憑證相匹配。

有趣的是，研究人員注意到，電話公司提供的新號碼是連續的號碼塊。但他們在非連續的區塊中顯示回收的號碼，暴露了它們以前被使用過的事實。研究人員說，攻擊者可以自動發現這些號碼。

研究人員還監測了200個回收的號碼。在一個星期內，他們發現其中約有10%的人收到了針對前主人的隱私或安全相關的資訊。

該研究直接指出了2FA和MFA網路安全中依賴電話號碼的漏洞。但事實也確實如此。

此外，在一個調查專案中發現，近三分之一(30%)的人透過簡訊使用2FA。(大約40%的人支援認證應用程式)。

超越簡訊程式碼

基於簡訊的認證並不只是在某人的號碼改變時失敗。網路犯罪分子可以使用任何數量的專業無線系統攔截簡訊。攻擊者可以欺騙、勒索或賄賂電話公司員工，將電話號碼轉移到網路罪犯的SIM卡上(稱為SIM交換)。基於文字的程式碼也可以透過網路釣魚工具獲得。

底線是，電話號碼可以分配給一個以上的人。攻擊者(或事故)可以將手機與他們的主人分開。他們可以攔截簡訊或以其他方式闖入資訊傳遞。因此，由於許多原因，包括簡訊在內的2FA或MFA的安全性遠遠低於許多其他方法。

MFA的密碼元素是什麼?

換句話說，在所有可用於多因素認證的因素中，到目前為止最常見的是使用者名稱/密碼以及簡訊。

發簡訊和智慧手機是不安全的方法，這已經很糟糕了，但使用者名稱和密碼也同樣不容樂觀。太多的使用者使用薄弱的密碼，他們在多個網站上重複使用這些密碼，而威脅者竊取了太多的密碼，並在暗網上提供給其他網路犯罪分子。

提高2FA安全性和MFA的一舉兩得的方法是強制規定強密碼和使用密碼管理器。接下來，禁止基於文字的認證，以支援更安全的東西，如認證應用程式。有了這些，你就有了第一道防線。