当前,随着网络安全威胁的日益加深,关于用户的安全认证机制也逐步完善中。为了降低传统单因子验证(One-factor authentication,2FA)如静态密码等带来的不可靠性,目前双因子认证机制(Two-factor authentication)已成为加强用户安全性的主流。

  双因子认证也不可靠 警惕社会工程学攻击

什么是双因子认证?

简单而言,双因子认证就是通过两种独立不相关的证据来证明访问者的身份。

根据密码学理论,在数字世界里,独立不相关的证据可以来自于以下三方面因素:你所知道的(如密码或身份证号码)、你所拥有的(如USB Key或磁卡)或者是你自己的生物体征(如指纹、瞳孔或声音等)。

  双因子认证机制已成主流化

如果单独来看以上各因素的话,在安全上都会存在脆弱性。而一旦将其中的两种要素结合起来,则会大大提升身份认证的安全性。因此,双因子认证便成为目前有效提高系统访问控制安全的一种常用手段。

不过,即使再强大的安全认证,在人为操作下都会有泄露的风险。因此,面对防不胜防的社会工程学攻击,双因子认证也有被绕过的风险,随时变成毫无用处的“马奇诺防线”。

警惕无孔不入的社会工程学攻击

在计算机科学中,社会工程学指的是通过与他人的合法地交流,来使其心理受到影响,做出某些动作或者是透露一些机密信息的方式。其通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为,如人们较为熟知的钓鱼攻击等形态。

近日,国外一家大数据初创企业的联合创始人就遭遇了钓鱼攻击,随后他在Twitter上做了关于“黑客可绕过谷歌邮箱的双因子身份验证对用户攻击”的博文分享,来提醒广大网民增强防范意识。

在他看来,攻击者首先可通过撞库或黑市购买获得谷歌邮箱用户的登录名和密码。随后便会向受害者发送钓鱼短信(假装谷歌公司发出)来欺骗目标用户提供双因子身份验证码来暂时锁定他们的账号。而一旦用户将接收到的2FA验证码反馈给攻击者,攻击者实际上就掌握了该邮箱的实际访问权限了。

因此,为了有效防止遭受钓鱼攻击,用户需要注意以下几点。首先,你是否正在进行邮箱的登录操作,不是的话,千万不要给予回复。其次,正规公司的技术人员不会向用户索要双因子认证的验证码。最后需要注意的是,双因子认证不是用来锁定账号的,而是用来获取账号访问权限的。