对抗 2FA
对抗 2FA
我觉得 2FA(双因素认证)背后的逻辑说不通。这看起来更符合公司的商业利益,而不是客户的实际安全。让我解释一下。
增加额外的认证步骤似乎提供了额外的安全性,但事实上这是可疑的:
- 任何数字安全资产的主要攻击媒介都是社会工程。2FA 在这方面做得很少,有良好安全政策的公司会在给冒充你的人访问之前仔细检查帐户声明。如果攻击者犯了错误,您可能会自动收到一封电子邮件或一条短信,声明有人正在尝试登录,但等到您做出反应时,可能已经太晚了。如果你选择反抗。
- 密码泄露是第二个攻击媒介。即使是大公司也不能幸免。还记得 Tumblr、Dropbox 和 LinkedIn 的泄密事件吗?密码应该散列并单独加盐。这样就不可能从密码泄露中得到你的密码。如果这些公司不进行哈希和盐析,我们没有理由相信他们会实施 2FA。事实上,如果他们不能正确地实现基本的密码安全原则,2FA 的实现也一样糟糕。
- 如果你被攻击者强迫说出你的密码,他们可能会强迫你说出你的电子邮件或者手机。
增加的摩擦是相反的。例如,你必须等待收到短信或电子邮件。如果文本网关或电子邮件网关当前关闭,您也可能收不到它。如果你在国外旅行,你甚至可以完全被锁定在你的账户之外,无法访问你的短信。
最后,在某些糟糕的实现情况下,2FA 可能会产生更多的攻击媒介。如果攻击者能够通过您的电话或电子邮件重置您的密码,他就可以轻而易举地获得访问权限,就好像 2FA 不存在一样。2FA 实际上更多情况下是 1FA,因为您只需要第二个附加因子来重置实际密码。
另一方面,公司从 2FA 中获益比用户多。他们有一个持续的流程来检查你是否正在使用你给他们的号码或电子邮件。对于像谷歌或脸书这样的广告公司来说,增加追踪的商业利益是不言而喻的。
总之,我认为我们应该推动使用相当复杂和独特的密码来提高安全性,并且我们应该反对在大多数情况下推动采用 2FA。
注:我知道 AWS 多因素身份认证(MFA)。他们实际上向您发送了一个密钥卡设备,可以生成用于登录的密钥。它确实是 2FA 的一个很好的实现,但是它的使用非常有限,大多数人在谈论 2FA 时不会提到它。
黑客中午是黑客如何开始他们的下午。我们是 @AMI 家庭的一员。我们现在接受投稿,并乐意讨论广告&赞助机会。
要了解更多信息,请阅读我们的“关于”页面、在脸书上点赞/给我们发消息,或者简单地说, tweet/DM @HackerNoon。