当涉及到医学和最终用户网络安全时,获得第二意见是个好主意。双因素身份验证(2FA)和多因素身份验证(MFA)是抵御涉及最终用户设备和基于Internet的服务的各种网络攻击的强大工具。但是有一个大问题:人们将短信作为第二元素太普遍了。这将电话号码变成了数字身份设备——它们本来就是一个糟糕的角色。如果有人丢失或智能手机被盗,他们将失去进行身份验证的机会。更糟糕的是,攻击者可以将电话号码转移给另一个人,这个人现在会收到身份验证请求。以下是解决手机2FA和MFA问题的方法。双因素和多因素身份验证如何工作这两种预防措施都通过使用多个“身份验证因素”起作用。这个因素可以是用户知道的、拥有的或者是他们身份的一部分(例如指纹)。最常见的组合之一是用户名和密码(用户知道),以及通过短信发送到用户智能手机的消息、链接或代码(用户拥有)。但还有其他人。身份验证因素可以是密码、个人琐事(例如母亲的名字)、密钥卡、面部信息或许多其他因素。现实生活中的多重身份验证这种情况每天发生数百万次。用户忘记了密码,或者选择了更改密码。或者他们从不同的地方访问一个网站,或者使用不同的设备,或者在一个固定的时间表上查看网站上的用户。因此,该网站通过短信向用户的手机发送代码、链接或密码。这样做的问题在于,它假设只有原始、诚实的用户才有可能获得与短信配对的电话号码。这是一个糟糕的假设。过去,人们认为只有原始签名者才能按照他们的方式书写签名。这是一个很好的假设。当我们假设只有真实用户可以注册面孔或指纹时,这也是一个很好的假设。但是拥有电话号码?没那么多。事实证明,威胁行为者可以找出无线提供商网站上的哪些电话号码是“回收”号码(曾经使用过但现在被废弃的号码)。然后可以将它们与泄露的登录凭据进行匹配,以便在暗网上出售。通过获取这些电话号码,他们可以通过重置密码(用新电话号码确认)来劫持帐户。恢复电话号码的问题研究人员抽取了美国两家无线运营商提供的259个电话号码。他们发现,其中171个号码与各种网站上的现有账户相匹配,100个匹配的凭据在网上泄露。有趣的是,研究人员注意到电话公司提供的新号码是连续的号码块。但是它们在不连续的块中显示回收数字,暴露了它们以前被使用过的事实。研究人员说,攻击者可以自动发现这些数字。研究人员还监测了200个恢复的数字。一周之内,他们发现其中约10%的人收到了针对其前所有者的隐私或安全相关信息。该研究直接指出了2FA和MFA网络安全中依赖电话号码的漏洞。但这也是事实。此外,近三分之一(30%)的人在调查项目中通过短信使用2FA。(大约40%支持对应用程序进行身份验证)。超越SMS代码基于SMS的身份验证不仅会在某人的号码更改时失败。网络罪犯可以使用任意数量的专用无线系统拦截文本消息。攻击者可以欺骗、勒索或贿赂电话公司员工,将电话号码转移到网络犯罪分子的SIM卡上(称为SIM交换)。基于文本的代码也可以通过网络钓鱼工具包获得。最重要的是,一个电话号码可以分配给多个人。攻击者(或事故)可以将手机与其所有者分开。他们可以拦截短信或以其他方式侵入消息传递。因此,出于多种原因,2FA或MFA(包括SMS)远不如许多其他方法安全。MFA的加密元素是什么?换句话说,在可用于多因素身份验证的所有因素中,到目前为止最常见的是用户名/密码和短信。短信和智能手机是不安全的方法已经够糟糕了,但用户名和密码也是如此。太多用户使用弱密码,他们在多个网站上重复使用这些密码,而威胁行为者窃取了太多密码,并让暗网上的其他网络犯罪分子可以使用这些密码。提高2FA安全性和MFA的最佳方法是强制使用强密码并使用密码管理器。接下来,禁用基于文本的身份验证以支持更安全的方式,例如对应用程序进行身份验证。有了这些,您就有了第一道防线。
