您可能会遇到一种网站身份验证方案,该方案通过向智能手机发送一次性代码并让您在线输入来进行验证。 许多银行使用的移动交易认证号码(mTAN)是一个示例。 Google Authenticator可让您以相同的方式保护您的Gmail帐户,各种其他服务(例如LastPass)也支持该帐户。 不幸的是,坏人已经知道如何颠覆这种身份验证。 TextKey的SMS身份验证是一种新方法,可以保护身份验证过程的每个阶段。
扭转局面
旧式SMS身份验证会将一次性代码发送到用户的注册手机号码。 无法确定代码没有被恶意软件捕获或未被手机克隆拦截。 接下来,用户在浏览器中键入代码。 如果PC被感染,则交易可能会受到影响。 实际上,一种名为zitmo的Zeus变体(意为“移动中的宙斯”)会执行标签小组攻击,其中PC上的一个组件和移动设备上的一个组件合作窃取您的凭据和金钱。
TextKey撤消整个过程。 它不会向您发送任何短信。 而是在输入用户名和密码后显示PIN码,并要求您将该PIN码输入指定的短代码。 蜂窝运营商非常努力地确保一个电话号码与一台设备完全匹配,因此,如果TextKey服务器完全接收到该消息,则意味着运营商已经验证了电话号码和电话的UDID。 在那里,TextKey免费获得两个附加的身份验证因素!
PIN每次都不同,并且仅在几分钟内有效。 短代码也有所不同。 使用TextKey进行身份验证的网站可以选择要求每个用户创建一个个人PIN,该个人PIN必须添加到一次性PIN的开头或结尾。
如果同事用PIN和短代码在屏幕上冲浪,或者恶意程序向其所有者报告您的短信活动,该怎么办? 如果TextKey系统从错误的电话号码接收到正确的PIN,则它不仅会拒绝身份验证。 它还会将电话号码记录为欺诈,因此网站所有者可以采取适当的措施。
单击此链接尝试一下TextKey。 为了演示的目的,您将输入您的电话号码; 在实际情况下,该号码将成为您的用户个人资料的一部分。 请注意,您可以通过输入非您自己的数字来触发欺诈警报。
你如何得到它
Text,TextKey不能作为使用者实现。 您只有在银行或其他安全站点已实施它的情况下才能使用它。 小型企业可以在“安全即服务”的基础上签订TextKey身份验证合同,根据用户数量的不同,每个用户每月需支付5美元到0.50美元不等的费用。 对于任何数量的登录,这都是固定的月费。 托管自己的TextKey服务器的大规模运营需要支付设置费用以及每月费用。
此方案可能并非100%不可破解,但比老式的SMS身份验证要困难得多。 它超出了两个因素。 TextPower将其称为“全能因子”。 您必须知道密码,拥有具有正确UDID的电话,输入显示的PIN,可选地添加您的个人PIN,从您已注册的电话号码发送文本,以及使用随机短代码作为目的地。 面对这一点,普通的黑客可能会之以鼻并破解一些银行的mTAN。
