免责声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表火星财经官方立场。
小编:记得关注哦
来源:AXEL_Network
你是否听过SIM交换?ZDNet作家Matthew Miller在去年6月记录了这种恶心的攻击方式。在他发现使用服务被黑客攻击,攻击者从他的银行账户上划走了25,000美元购买比特币后,他详细描述了这起恐怖事件。
最近,普林斯顿大学一项研究发现,美国5家主要预付费无线运营商很容易受到SIM交换攻击。据说,运营商Verizon Wireless、T-Mobile、AT&T、US Mobile和Tracfone的客服支持中心员工正在使用这类攻击可能发生的易攻击流程。
SIM交换中,攻击者要求无线运营商将你的手机号码绑定到他们的SIM卡上。然后,黑客通过SMS重置你的全部密码,控制你的手机。
我知道你会说,这意味着我决不能使用SMS进行双重因素认证(2FA)。但并非完全如此。下面我就来解释一下。
通过SMS进行2FA的案例
昨天,安全公司Bitdefender根据普林斯顿大学研究成果分享了一篇博客后,遭到推特用户的强烈反对。推特正文:“建议用户停用SMS 2FA。美国大部分无线运营商都容易受到SIM交换攻击,缺乏适用的黑客预防流程。
当然,这引起了信息安全社区的强烈反对。知名安全教授Lesley Carhart发文称:“哎,我现在对Bitdefender感到非常失望。他们在描述这个问题时采用了最容易误导、最无意的伤害方式。虽然SMS 2FA有严重的问题,但仍然起到一定的作用。在没有合适的替代方案之前,不要弃用SMS。”
Bitdefender后来澄清了推文,表示这是社交媒体团队在没有充分理解问题或问题隐含意义的情况下推送的。Bitdefender高级网络威胁分析师Bogdan Botezatu告诉我,那篇推文旨在让公众注意基于SMS的双重因素认证引发的问题和挑战,以及用户为什么应该考虑用其他方式来替换。
他表示:“Bitdefender非常鼓励用户采用双重因素认证作为预防未授权登录的额外机制。如果没有可用的替代方案,那么基于SMS的2FA仍然是不错的选择。”
通过SMS进行2FA:风险是什么?
当然,如果SIM交换攻击很容易发生,那么使用用于2FA的SMS有风险。这是因为攻击者很容易验证你的账户,他们仅使用短信就可以访问你的服务。
通过电信提供商的社交工程通常容易实现SIM交换,但这些仍属于针对性攻击,安全专家John Opdenakker表示。他还说,一般来说,通过网络钓鱼或凭证填充等大规模攻击来攻击普通账户用户的风险“很高。”
ZeroDayLab网络安全策略总监Stuart Peck表示:“这种攻击需要激励攻击者,激励回报必须要足够多。通常来说,这与金融诈骗有关,与单纯的账户盗窃相反。
事实上,Peck认为,相比没有任何措施来说,SMS 2FA的好处还是“很大的”。
他表示:“这是仍然非常有效的一层防御。但这是最安全的选择吗?不是,不过比只有用户名和密码的安全方式好多了。”
通过SMS进行2FA:应该用什么?
最理想的方式是使用其他认证方式,例如安全秘钥或app。但这里又有个问题:Opdenakker表示,“现实是,很多网站提供的方案没有2FA方案安全,例如软件通证或甚至更好的硬件安全通证”。
然而,考虑到受账户保护的数据性质,如果你觉得基于SMS的2FA不好,Opdenakker建议用户“寻找账户安全性更好的替代服务。”
Peck表示,避免SIM交换攻击的另一个重要步骤是:“确保你已联系移动网络供应商,对账户设置密码,特别是通话记录,因为这至少会降低SIM交换的可能性。”
结语
Opdenakker一般建议启用最安全的2FA方案–即使这是基于SMS的方案。“双层保护好过单层,即使已发现部分漏洞。"
确实,SMS 2FA要求的技术知识最少,仍然是保证安账户全的最低门槛,因为这不需要备份代码或安装app,Peck如是说。要注意,这确实存在一定的风险,其他方案更加安全。
Peck建议,如果大家担心自己的账户保护问题,可以考虑微软、Google Authenticator、Authy。此外,Chrome和Firefox的2FA Notifier等服务列出了支持2FA的网站以及2FA建立教程。
要知道:双重因素认证很好,甚至好过你使用的其他方法,例如安全秘钥、YubiKey–或甚至你的iPhone–或认证app。但如果没有这些选择,或你正在使用的服务不允许这样做,那就使用SMS。
如果你想掌握AXEL的第一手资讯,了解更多关于数据安全、区块链、IPFS和主节点技术的内容,欢迎关注AXEL的社交媒体。添加AXEL管理员(微信ID:AXEL_Network1)为好友,加入AXEL社区,与我们一起见证未来。
,