在医学和最终用户网络安全中,第二个意见是一个好主意。双因素身份验证(2FA)和多因素身份证(MFA)是对抗涉及终端用户设备和基于互联网的服务的各种网络攻击的强大工具。
但是有一个大问题:很普遍地,人们把短信作为第二个因素。这就把电话号码变成了数字身份设备——这个角色被设计得很糟糕。如果有人丢失了智能手机或智能手机被盗,他们也无法获得身份验证信息。更糟糕的是,攻击者可以将电话号码转移给另一个人,这个人将会收到身份验证请求信息。以下是如何处理2FA和MFA的电话问题:
这两种预防措施都可以使用多个“身份验证因素”,这些因素可能是用户知道的、拥有的或者是属于他们自身的一部分(比如指纹)。
其中最常见的组合之一是用户名和密码(用户知道的东西),再加上通过短信发送到用户智能手机(用户拥有的东西)里的消息、链接或代码。
但也还有其他的因素,身份验证因素可以是个人识别码、个人相关的(例如,母亲的娘家姓)、钥匙链、您的脸或许多其他因素。
它每天使用一百万次。用户会忘记密码,或选择更改密码。或者他们从不同的地点访问网站,或者使用不同的设备按固定时间表检查用户访问网站。因为,该网站会通过短信向用户的手机发送代码、链接或密码。
这样做的问题在于,它假设只有原始的、真实的用户才能访问与文本配对的电话号码。这是一个糟糕的假设。
在过去,人们认为只有原始的签名者才能按照他们的方式书写签名。这是一个很好的假设。当我们假设只有真实用户才能拥有注册人的人脸或指纹时,这也是一个很好的假设。但是只拥有一个电话号码?不太可能。
事实证明,威胁行为者可以找出无线提供商网站上的哪些电话号码是“回收的”号码——曾经使用过的但现在被弃用了。然后,它们可以与在暗网上出售的泄露的登录凭证相匹配。通过访问电话号码,他们可以通过重置密码(用他们的新号码确认)来劫持账户。
普林斯顿大学的研究人员抽样了两家美国无线运营商提供的259个电话号码。他们发现,其中171个与各个网站上的当前账户相匹配,100个与网络上泄露的登录凭证相匹配。
有趣的是,研究人员还注意到电话公司以连续号码块的形式提供新号码。但会以非连续的块显示回收的数字,揭示了它们以前被使用过的事实。据研究人员称,攻击者可以自动发现这些数字。
研究人员还监测了200个回收的号码。在一周内,他们发现大约10%的人收到了针对上一个机主的隐私或安全相关信息。
普林斯顿大学的研究直接指出了依赖电话号码的2FA和MFA网络安全的巨大漏洞。但事实也是如此。
此外,一名为 TwoFactorAuth.org的众包项目发现,近三分之一(30%)通过短信使用2FA。(大约40%的用户支持身份验证应用程序。)
基于文本的身份验证不会在某人的号码更改时失败。网络犯罪分子可以使用任意数量的专用无线系统拦截短信。攻击者可以欺骗、勒索或贿赂电话公司的员工,将电话号码转移到网络犯罪分子的SIM卡(称为SIM交换)。基于短信的代码也可以通过网络钓鱼工具获得。
底线是,电话号码可以分配给多个人。攻击者(或意外事故)可以将手机与机主分开。他们可以拦截文本或以其他方式侵入消息传递。因此,由于多种原因,包括短信在内的2FA或MFA远不如许多其他方法安全。
换句话说,在所有可用于多因素认证的因素中,目前最常见的是1)用户名/密码;以及2)文本。
短信和智能手机是不安全的方法已经够糟糕了,但用户名和密码也是如此。太多的用户在多个网站重复使用他们的弱密码,威胁行为者窃取了太多的这些密码,并在暗网上提供给其他网络罪犯。
提高2FA安全性和MAF的关键是要求使用强大的密码和使用密码管理器。接下来,禁止基于文本的身份验证,转而采用更安全的方式,比如身份验证应用程序。有了这些,您将会拥有第一道防线。
来源网站:securityintelligence.com 沃通WoTrus原创翻译整理,转载请注明来源
原文网址:How to Fix the Big Problems With Two-Factor and Multifactor Authentication