也许你已经在手机上设置了多因素身份验证,所以你必须输入一个短信验证码,才能在一个新设备登录电子邮件或银行账户。但你可能没有意识到的是,新的诈骗手段使得使用短信、电子邮件或语音通话发送的验证码的安全性不如以前。
多因素认证是澳大利亚网络安全中心推荐的安全措施之一,为企业减少了遭受网络攻击的风险。但上个月,在一份名单更新后,通过短信、电子邮件或语音通话进行的身份验证被降级,它们不再被认为是安全的最佳选择。
什么是多因素身份验证?
每当我们登录一个应用程序或设备时,通常会被要求进行某种形式的身份检查,通常是密码、卡、指纹等等。最后一个通常是首选,因为虽然你可能会忘记密码或忘记带卡,但生物特征始终与你在一起。
多因素身份验证是指通过不同的方式进行身份验证。例如,除了输入密码,你还需要输入额外的身份验证码,这个验证码会通过短信、电子邮件或语音邮件发送到你的手机。银行已经提供了这个功能,一个“一次性”的验证码会发送到你的手机,以确认授权来进行交易。
可能很多人会想,多因素身份验证使用两个独立的通道,验证码是随机生成的,验证码的有效期是有限的,那怎么可能出错呢?
不是没有可能。假设有人偷了你的手机,如果罪犯想要登录你的银行账户,银行会向你的手机发送一个身份验证码。根据你的手机设置,即使手机仍然是锁定的,验证码可能仍会在手机屏幕上弹出。罪犯就可以输入密码,进入你的银行账户。请注意,“防打扰”设置没有任何帮助,信息仍然会出现。为了避免这个问题,你需要在手机设置中完全禁用信息预览。
还有一种更复杂的黑客手段涉及“SIM交易”。如果罪犯有你的一些身份信息,他们可能会欺骗电话服务提供商,让服务商认为他们就是你,并要求服务商把新SIM卡发给他们。这样,这些验证码就会发送到罪犯的手机上了。
几年前,一名美国科技记者就遇到过这种情况,一名黑客拿到了他的SIM卡,又切断了他手机的网络服务,黑客就修改了他的Gmail密码、Facebook密码。大约两分钟后,他就被锁在了他的数字生活之外。
接下来的问题是,你是否希望向正在使用的服务提供你的电话号码。近日,Facebook要求用户提供自己的电话号码以确保账户安全,但随后又允许其他人通过电话号码搜索个人资料,因此而遭到了抨击。据报道,他们还利用目标用户的电话号码来投放广告。
并不是说分割身份检查是一件坏事,只是说通过不太安全的方式发送身份验证会产生一种虚假的安全感,实际上这种方法的安全性可能比完全不使用这些方法更低。
多因素身份验证很重要——只要你通过正确的通道进行身份验证。
哪种身份验证组合最好?
第一种是用密码和物理访问卡。虽然这种组合被破解不是不可能,但是很难。网络罪犯必须同时获得这两种身份才能冒充你。
第二个组合是密码和声纹。声纹识别系统会记录你说的特定密码,然后在你需要验证身份时进行声音匹配。但你的声音能被伪造吗?在数字软件的帮助下,可能会把你的声音录音、解压并重新排序,以产生所需的短语。这有点挑战性,但并非不可能。
第三种组合是卡和声纹。这个选择消除了对密码的需要,因为密码可能被窃取,并且只要您保持物理令牌(卡或密钥)的安全性,其他人就很难模仿您。
目前还没有完美的解决方案。使用多因素身份验证的哪种组合取决于你在可用性和安全性之间的取舍。