兩步驟驗證真的能保護我們的帳戶嗎?很難。

兩步驟驗證真的能保護我們的帳戶嗎?很難。

如何保護你的帳戶安全?稍微懂一點網路安全的人都會建議你,開啟兩步驟驗證。兩步驟驗證,簡單點說,就是在你輸入密碼後,要求你透過別的方式來獲取一串驗證碼,來確保登入者是你。

的確,兩步驟驗證可以稱得上是個人訊息安全中最為重要的一環,但也是被人接受最為緩慢的一環。雖然各主流網站都提供了這一選項,但用戶往往需要費一番功夫才能找到對應的設置項。因此,正式啟用這一功能的用戶寥寥無幾。

兩步驟驗證真的能保護我們的帳戶嗎?很難。

但是,隨著兩步驟驗證逐步被大家接受、採用兩步驟驗證的站點的增多,傳遞驗證碼的介質也變得多樣起來:有些網站使用簡訊,有些使用電子郵件,還有些是利用像是 Google Authenticator 之類的軟體工具,更為極端的用戶則是採用硬體鑰匙(可以把它理解為隨身碟鑰匙)來生成驗證碼。而隨著這些驗證手段的增多,就連專注於兩步驟驗證評測的網站 TwoFactorAuth 都分不清楚哪種驗證方式是相對安全的。

在接受 The Verge 採訪時,TwoFactorAuth 的負責人這樣說道:

如果評估數百種兩步驟驗證服務(的安全係數)對我們來說已經很困難了的話,我無法想像普通用戶面對它們的時候會有多困惑。

在兩步驟驗證剛推出的時候,每個人都認為這是一種令人感到放心的驗證方式。但到了 2014 年,有越來越多的駭客透過各種各樣的方式繞過了這一驗證:有些是透過仿造 API token(可以想像成配了一把萬能鑰匙),有些是透過社會工程學騙取你的帳戶恢復資料,甚至還有些是透過電信商,將受害者的驗證簡訊轉接到自己的手機上。而這些駭客攻擊往往圍繞著比特幣這一匿名貨幣展開的。就在上個月,某企業家就因為 Verizon 客服的失職而損失了價值 8000 美元的比特幣。

除了比特幣以外,根據 The Intercept 本月的報導,俄羅斯在美國大選期間,已經有辦法繞過兩步驟驗證,來達到控制選舉人帳號的目的。而在另一篇報導中,因為 Facebook 的流程設計缺陷,駭客可以輕而易舉地關閉已經被打開的兩步驟驗證。

兩步驟驗證真的能保護我們的帳戶嗎?很難。

▲美國國家安全局解密的俄羅斯的帳戶竊取計劃,圖源:The Intercept 

深究下去,令兩步驟驗證不再安全的原因通常不是兩步驟驗證本身,而是那些恢複方案。通常情況下,恢複方案是用於用戶在不能夠接觸到兩步驟驗證裝置的時候改採取的後備手段,就像是你家大門的備用鑰匙一樣。

而在這些後備手段中,最難以攻破的薄弱點當屬電信商。如果你可以透過電信商將發送到指定號碼的簡訊和電話轉發到你的裝置上,那麼你就可以繞過大部分的兩步驗證。甚至,對有些基於手機號碼登錄的應用來說,擁有手機號碼就相當於擁有了帳號的所有權。

儘管美國國家標準技術研究所 (NIST) 已經在呼籲大家停止使用簡訊驗證,但很多科技公司仍然不為所動。畢竟,簡訊驗證是最為方便、簡單的兩步驟驗證方式。而對不太關心帳戶安全的人來說,他們並不關注兩步驟驗證本身是否安全,他們只在乎自己的帳戶是否受到了保護。

現在,整個資安界把目光投向了威脅檢測 (Threat Detection) 這一領域。系統透過檢測像是機器特徵碼、用戶行為這些難以透過外力模仿的訊息,來判定該登錄是否需要額外的驗證。這一系統從實質上來說,要比兩步驟驗證更為可靠。

可惜的是,儘管業界可以透過引入威脅檢測來增加帳戶的安全性,但除了開啟兩步驟驗證外,用戶永遠無法直觀感知到他的帳戶到底在多少程度上是安全的,也無法透過任何辦法來進一步加強對帳戶的保護。

而如何將威脅檢測具象化,讓用戶得以感知得到,將成為未來帳戶保護技術發展的關鍵。

  • 本文授權轉載自:ifanr
ifanr
作者

ifanr依托於中國移動互聯網的發展大潮,用敏銳的觸覺、出色的內容,聚焦 TMT 領域資訊,迅速成為中國最為出色的新銳科技Blog 媒體。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則