jinse.com
APP
中國版App下載 Android & iPhone
金色專欄
  • 發布文章
  • 發布活動

SMS安全的驚人真相

007Mxz31ly4gb5hqb8s1fj30qa06jgm8.jpg

007Mxz31ly4gb6l82weimj30qo0hsq4u.jpg

你是否聽過SIM交換?ZDNet作家Matthew Miller在去年6月記錄了這種惡心的攻擊方式。在他發現使用服務被黑客攻擊,攻擊者從他的銀行賬戶上劃走了25,000美元購買比特幣后,他詳細描述了這起恐怖事件。

最近,普林斯頓大學一項研究發現,美國5家主要預付費無線運營商很容易受到SIM交換攻擊。據說,運營商Verizon Wireless、T-Mobile、AT&T、US Mobile和Tracfone的客服支持中心員工正在使用這類攻擊可能發生的易攻擊流程。?

SIM交換中,攻擊者要求無線運營商將你的手機號碼綁定到他們的SIM卡上。然后,黑客通過SMS重置你的全部密碼,控制你的手機。?

我知道你會說,這意味著我決不能使用SMS進行雙重因素認證(2FA)。但并非完全如此。下面我就來解釋一下。?

通過SMS進行2FA的案例

昨天,安全公司Bitdefender根據普林斯頓大學研究成果分享了一篇博客后,遭到推特用戶的強烈反對。推特正文:“建議用戶停用SMS 2FA。美國大部分無線運營商都容易受到SIM交換攻擊,缺乏適用的黑客預防流程。

當然,這引起了信息安全社區的強烈反對。知名安全教授Lesley Carhart發文稱:“哎,我現在對Bitdefender感到非常失望。他們在描述這個問題時采用了最容易誤導、最無意的傷害方式。雖然SMS 2FA有嚴重的問題,但仍然起到一定的作用。在沒有合適的替代方案之前,不要棄用SMS。”

Bitdefender后來澄清了推文,表示這是社交媒體團隊在沒有充分理解問題或問題隱含意義的情況下推送的。Bitdefender高級網絡威脅分析師Bogdan Botezatu告訴我,那篇推文旨在讓公眾注意基于SMS的雙重因素認證引發的問題和挑戰,以及用戶為什么應該考慮用其他方式來替換。?

他表示:“Bitdefender非常鼓勵用戶采用雙重因素認證作為預防未授權登錄的額外機制。如果沒有可用的替代方案,那么基于SMS的2FA仍然是不錯的選擇。”

通過SMS進行2FA:風險是什么?

當然,如果SIM交換攻擊很容易發生,那么使用用于2FA的SMS有風險。這是因為攻擊者很容易驗證你的賬戶,他們僅使用短信就可以訪問你的服務。?

通過電信提供商的社交工程通常容易實現SIM交換,但這些仍屬于針對性攻擊,安全專家John Opdenakker表示。他還說,一般來說,通過網絡釣魚或憑證填充等大規模攻擊來攻擊普通賬戶用戶的風險“很高。”

ZeroDayLab網絡安全策略總監Stuart Peck表示:“這種攻擊需要激勵攻擊者,激勵回報必須要足夠多。通常來說,這與金融詐騙有關,與單純的賬戶盜竊相反。

事實上,Peck認為,相比沒有任何措施來說,SMS 2FA的好處還是“很大的”。

他表示:“這是仍然非常有效的一層防御。但這是最安全的選擇嗎?不是,不過比只有用戶名和密碼的安全方式好多了。”

通過SMS進行2FA:應該用什么?

最理想的方式是使用其他認證方式,例如安全秘鑰或app。但這里又有個問題:Opdenakker表示,“現實是,很多網站提供的方案沒有2FA方案安全,例如軟件通證或甚至更好的硬件安全通證”。然而,考慮到受賬戶保護的數據性質,如果你覺得基于SMS的2FA不好,Opdenakker建議用戶“尋找賬戶安全性更好的替代服務。”

Peck表示,避免SIM交換攻擊的另一個重要步驟是:“確保你已聯系移動網絡供應商,對賬戶設置密碼,特別是通話記錄,因為這至少會降低SIM交換的可能性。”

結語

Opdenakker一般建議啟用最安全的2FA方案–即使這是基于SMS的方案。“雙層保護好過單層,即使已發現部分漏洞。"

確實,SMS 2FA要求的技術知識最少,仍然是保證安賬戶全的最低門檻,因為這不需要備份代碼或安裝app,Peck如是說。要注意,這確實存在一定的風險,其他方案更加安全。

Peck建議,如果大家擔心自己的賬戶保護問題,可以考慮微軟、Google Authenticator、Authy。此外,Chrome和Firefox的2FA Notifier等服務列出了支持2FA的網站以及2FA建立教程。

要知道:雙重因素認證很好,甚至好過你使用的其他方法,例如安全秘鑰、YubiKey–或甚至你的iPhone–或認證app。但如果沒有這些選擇,或你正在使用的服務不允許這樣做,那就使用SMS。

如果你想掌握AXEL的第一手資訊,了解更多關于數據安全、區塊鏈、IPFS和主節點技術的內容,歡迎關注AXEL的社交媒體。添加AXEL管理員(微信ID:AXEL_Network1)為好友,加入AXEL社區,與我們一起見證未來。

007Mxz31ly4gb5hquv2wzj30zk0h5aav.jpg

了解更多區塊鏈一線報道,與作者、讀者更深入探討、交流,歡迎添加小助手微信:jinsecaijing666, 進入[金色財經讀者交流群]。
文章作者: / 責任編輯: 我要糾錯

聲明:本文由入駐金色財經的作者撰寫,觀點僅代表作者本人,絕不代表金色財經贊同其觀點或證實其描述。

提示:投資有風險,入市須謹慎。本資訊不作為投資理財建議。

金色財經 > 區塊鏈 > SMS安全的驚人真相
刺激战场官网国际服 可儿国外赚钱培训失望 股票发行价格在哪看 宝博棋牌app 20选5技巧 股票发行价怎么确定 多乐彩涂料 足球赛事表 熊猫麻将为什么一直 福彩20选8时时彩 家庭资产配置图 讲解 开元棋牌是不是都是机器人 pc蛋蛋是什么 英超2019赛程表 星悦浙江麻将 官方网站 四川金7乐玩法奖金 历届西甲最佳射手