家安全观察安全观察：两因素身份验证真的会让您更安全吗？

安全观察：两因素身份验证真的会让您更安全吗？

2024

视频: ä¸è¦å²ç¬æåçæ§ (可能 2024)

本周，我将重新挖掘我的无底邮件袋，以解决有关双因素身份验证（2FA）的另一个问题。这是我之前谈到过的一个主题，但是从我收到的有关问题的数量和特殊性来看，这显然是很多人正在思考的问题。因为我认为2FA可能是普通人可以做的唯一事情，以确保上网安全，所以我很乐意无休止地谈论它。

今天的问题来自Ted，他在问2FA系统是否真正被破解时就写了。请注意，为简洁起见，特德的来信已被编辑。泰德（Ted）通过引用我在2FA上的其他文章来开始他的信息。

您写道：“一旦您注册了安全密钥，SMS密码将是您丢失或无法访问密钥时的备用选择。” 如果是这样，那么为什么该设备比2FA SMS代码更安全？正如您还写道：“但是手机可能会被盗，而SIM卡插孔显然是我们现在需要担心的事情。”

如何防止某人告诉Google他们是您，丢失了安全密钥并需要将SMS代码发送到您的被盗/已插塞电话中？如果我正确理解这一点，那么此设备将比2FA SMS文本安全。可以肯定，它要方便得多，但是我看不出它的安全性。

所有这一切的目的是否在于安全密钥将提高您的安全性，仅仅是因为您更可能使用它，而不是因为它本质上比2FA更安全？我想念什么？

泰德，你什么都不会错过。实际上，您很聪明地掌握了围绕在线身份验证的许多安全性所在的基本问题：如何安全地验证人的身份，而又又使他们无法收回其帐户？

2FA基础知识

让我们先介绍一些基础知识。两因素身份验证或2FA是一种安全概念，在该概念中，您需要从可能的三者列表中提供两种身份证明，称为因素。

您知道的一些信息，例如密码。

您拥有的东西，例如电话。

您是某物，例如您的指纹。

实际上，2FA通常是您输入密码登录站点或服务后要做的第二件事。密码是第一个因素，第二个可能是使用特殊代码发送到手机的SMS消息，或者是在iPhone上使用Apple的FaceID。这个想法是，虽然可以猜测或窃取密码，但攻击者不太可能同时获取您的密码和第二因素。

Ted在信中特别询问有关硬件2FA密钥的问题。 Yubico的YubiKey系列可能是最著名的选项，但远非唯一的选择。 Google有自己的Titan安全密钥，Nitrokey提供了一个开源密钥，仅举两个。

实际的陷阱

没有哪个安全系统是完美的，2FA也不例外。 Google帐户安全小组产品管理负责人Guemmy Kim正确地指出，我们赖以进行帐户恢复和2FA认证的许多系统都容易受到网络钓鱼的攻击。坏人在这里使用假冒网站诱骗您输入私人信息。

聪明的攻击者可能会通过远程访问木马感染您的手机，从而使他们可以查看甚至拦截发送给您设备的SMS验证码。或者他们可以创建一个令人信服的网络钓鱼页面，以诱骗您输入由Google Authenticator等应用生成的一次性代码。甚至是我喜欢的纸质备用码选项也可能被诱骗我输入密码的钓鱼网站拦截。

SIM卡插孔是最奇特的攻击之一，攻击者在其中克隆您的SIM卡或诱使您的电话公司注销您的SIM卡，以拦截您的SMS消息。在这种情况下，攻击者可以非常有效地冒充您，因为他们可以将您的电话号码用作自己的电话号码。

不太常见的攻击是普通的旧失窃。如果您的手机或手机上的应用是您的主要身份验证者，并且您丢失了它，那将是一件令人头疼的事情。硬件密钥也是如此。尽管像Yubico YubiKey这样的硬件安全密钥很难破解，但是却很容易丢失。

Yubico Yubikey Series 5有许多不同的配置。

帐户恢复问题

Ted在信中指出，除了硬件安全密钥外，许多公司还要求您设置第二种2FA方法。例如，谷歌要求您使用短信，安装公司的Authenticator应用或注册设备以接收来自谷歌的推送通知，以验证您的帐户。您似乎需要这三个选项中的至少一个作为您使用的任何其他2FA选项（例如Google的Titan键）的备份。

即使您注册了第二个安全密钥作为备份，您仍然需要启用SMS，Google Authenticator或推送通知。值得注意的是，如果您想使用Google的高级保护计划，则需要注册第二个密钥。

同样，Twitter还要求您除了可选的硬件安全密钥之外，还使用SMS代码或身份验证器应用程序。不幸的是，Twitter只允许您一次注册一个安全密钥。

正如Ted所指出的那样，这些替代方法在技术上比单独使用安全密钥的安全性低。我只能猜测为什么以这种方式实施这些系统，但是我怀疑他们想确保其客户始终可以访问其帐户。 SMS代码和身份验证器应用程序是经过时间考验的选项，人们易于理解，不需要购买额外的设备。 SMS代码还解决了设备失窃的问题。如果您丢失了手机或手机被盗，则可以对其进行远程锁定，取消其SIM卡的授权，并获得一部可以接收SMS代码以重新联机的新手机。

就个人而言，我喜欢有多种选择，因为尽管我担心安全性，但我也了解自己，并且知道自己经常丢失或破坏东西。我知道以前从未使用过2FA的人非常担心如果使用2FA会发现自己被锁定在帐户之外。

2FA实际上非常好

了解任何安全系统的弊端始终很重要，但这不会使系统失效。尽管2FA有其弱点，但它已经取得了巨大的成功。

同样，我们只需要看Google。该公司要求内部使用硬件2FA密钥，其结果不言而喻。 Google员工成功进行帐户接管实际上已消失。考虑到Google员工在技术行业中的地位和（假定的）财富对于进行有针对性的攻击至关重要，因此这一点尤其重要。这是攻击者花费大量精力来针对特定攻击对象的地方。如果攻击者有足够的资金和耐心，这种情况很少见，而且通常会成功。

Google Titan安全密钥套件包括USB-A和蓝牙密钥。

需要注意的是，Google需要一种特定类型的2FA：硬件安全密钥。与其他2FA方案相比，它们具有优点，因为很难进行网络钓鱼或以其他方式拦截。有人可能说不可能，但我知道泰坦尼克号发生了什么，并且知道得更多。

尽管如此，用于拦截2FA SMS代码或身份验证器令牌的方法还是非常陌生的，并且扩展性并不佳。这意味着普通犯罪分子不太可能使用它们，而普通犯罪分子希望像您一样，在普通人中尽可能快速，轻松地赚钱。

特德指出：硬件安全密钥是我们迄今为止看到的执行2FA的最安全方式。尽管并非没有其固有的弱点，但它们很难被网络钓鱼，也很难被攻击。而且，2FA硬件密钥在某种程度上可以面向未来。许多公司正在远离SMS代码，有些公司甚至接受了完全依靠使用FIDO2标准的硬件2FA密钥进行的无密码登录。如果您现在正在使用硬件密钥，则很有可能在未来的几年中都将获得安全保护。