众所周知,用户名和密码不足以安全访问在线服务。最近的一项研究指出,超过80%的与黑客攻击相关的入侵都是由于身份信息泄露和薄弱造成的,仅2016年一年就有30亿用户名/密码组合被盗。
因此,实现双因素身份验证(2FA)已成为必要。一般来说,2FA旨在为相对脆弱的用户名/密码系统提供额外的安全层。
它的工作原理
数据显示,启用2FA的用户最终阻止了大约99.9%的自动攻击。但与任何好的网络安全解决方案一样,攻击者很快就能找到绕过它的方法。他们可以通过发送到用户智能手机上的一次性代码绕过2FA。
那么短信有什么问题呢?
微软等主要供应商敦促用户放弃利用短信和语音通话的2FA解决方案。这是因为SMS以其糟糕的安全性而闻名,这使得它容易受到各种各样的攻击。
例如,SIM交换已经被证明是一种规避2FA的方法。SIM卡切换包括攻击者说服受害者的移动服务提供商他们自己就是受害者,然后要求将受害者的电话号码切换到他们选择的设备上。
基于短信的一次性代码也可以通过Modlishka等现成工具利用一种叫做反向代理的技术破解。这有助于受害者和被模拟的服务之间的通信。因此,在Modlishka的案例中,它会拦截真正的服务和受害者之间的通信,并跟踪和记录受害者与该服务的互动,包括他们可能使用的任何登录凭证)。
除了这些现有的漏洞,我们的团队还在基于短信的2FA中发现了额外的漏洞。一种特殊的攻击利用谷歌Play Store提供的功能,自动从网络安装应用程序到你的android设备。
如果攻击者获得了你的证书,并在笔记本电脑上登录了你的谷歌Play账户(尽管你会收到提示),他们就可以在你的智能手机上安装任何他们想要的应用程序。
对Android的攻击
实验表明,恶意行为者可以通过使用一款流行的应用程序(出于安全原因,不愿透露名称和类型)来远程访问用户的基于短信的2FA,该应用程序旨在在不同设备上同步用户的通知。
具体来说,攻击者可以利用连接到谷歌账户(如username@gmail.com)的被破解的电子邮件/密码组合,通过谷歌Play恶意地在受害者的智能手机上安装一个随时可用的消息镜像应用程序。
这是一个现实的场景,因为用户经常在各种服务中使用相同的凭证。使用密码管理器是一种有效的方式,使您的第一行身份验证-您的用户名/密码登录-更安全。
一旦安装了应用程序,攻击者可以应用简单的社会工程技术来说服用户启用应用程序正常运行所需的权限。例如,它们可能假装正在从合法的服务提供者调用,以说服用户启用权限。在此之后,他们可以远程接收发送到受害者手机上的所有通信,包括用于2FA的一次性代码。
尽管上述攻击必须满足多个条件才能生效,但它仍然证明了基于短信的2FA方法的脆弱性。更重要的是,这种攻击不需要高端技术能力。它只需要了解这些特定的应用程序是如何工作的,以及如何智能地使用它们(以及社会工程)来锁定受害者。
当攻击者是可信任的个人(如家庭成员),并且可以访问受害者的智能手机时,这种威胁就更加真实。
另一种保护是什么?
为了在网上保持保护,你应该检查你最初的防线是否安全。首先检查你的密码是否被破解。有许多安全程序可以让你做到这一点。确保你使用了精心设计的密码。
如果可以的话,我们也建议你限制使用短信作为2FA的方法。你可以使用基于应用程序的一次性代码,比如通过谷歌Authenticator。在这种情况下,代码是在设备本身的谷歌Authenticator应用程序中生成的,而不是发送给您。
然而,这种方法也可能被黑客使用一些复杂的恶意软件所破坏。一个更好的选择是使用专门的硬件设备,如YubiKey。这些是小型USB(或近场通信支持)设备,提供了一种简化的方式,在不同的服务中实现2FA。
作为2FA的一部分,这样的物理设备需要插入或靠近登录设备,因此可以降低与可见的一次性代码(如SMS发送的代码)相关的风险。必须强调的是,任何2FA方案的根本条件是,用户本身必须有一定程度的积极参与和责任。与此同时,服务提供商、开发人员和研究人员必须开展进一步的工作,以开发更容易获得和更安全的认证方法。
从本质上讲,这些方法需要超越2FA,走向多因素身份验证环境,在这种环境中,可以根据需要同时部署和组合多种身份验证方法。
网友评论