本周,我将重新挖掘我的无边无际的邮箱来解决另一个关于双因素身份验证(2FA)的问题。这是我以前接触过的一个主题,但从我收到的关于它的问题的数量和特殊性来看,这显然是一个很多人都在思考的问题。因为我认为2FA可能是普通人为保证网络安全所能做的最好的事情,所以我非常乐意无休止地谈论它。
今天的问题来自Ted,他写信来询问2FA系统是否真的像人们所说的那样。请注意,为简洁起见,泰德的信经过了编辑。Ted在开头引用了我在2FA上的其他一些文章。
你写道:“一旦你登记了安全密钥,短信密码将是一个备份选项,以防你丢失或无法访问密钥。”如果这是真的,那么为什么这个设备比一个2FA短信代码更安全?正如你所写的,“但手机可能被盗,sim卡劫持显然是我们现在需要担心的事情。”
怎样才能防止有人告诉谷歌他们是你,丢失了安全密钥,需要一个短信代码发送到你被盗/被劫持的手机?如果我理解正确的话,这个设备并不比2FA短信更安全。这当然更方便,但我看不出它怎么更安全。
所有这一切的结果是安全密钥将提高您的安全性,但只是因为您更有可能使用它,而不是因为它本质上比2FA更安全吗?我错过了什么?
你什么都没错过,泰德。事实上,您很聪明,发现了许多围绕在线身份验证的安全问题背后的一个基本问题:如何安全地验证人们是谁,同时又不使他们无法恢复自己的帐户?
2FA基础知识
让我们先了解一些基础知识。双因素认证,简称2FA,是一个安全概念,您需要从一个可能的三个身份证明列表中给出两个身份证明,称为因素。
- 一些你知道,例如密码。
- 一些你有例如电话。
- 一些你是,例如你的指纹。
在实际应用中,2FA通常意味着在输入密码登录网站或服务后要做的第二件事。密码是第一个因素,第二个因素可以是用特殊代码发送到你手机上的短信,也可以是在iPhone上使用苹果的FaceID。其思想是,虽然密码可以被猜测或窃取,但攻击者同时获得密码和第二个因素的可能性较小。
在他的信中,Ted特别询问了硬件2FA密钥。Yubico的YubiKey系列可能是最著名的选择,但它远不是唯一的选择。谷歌有自己的Titan安全密钥和Nitrokey提供一个开源的密钥,举两个例子。
什么是双因素认证?实用陷阱
没有一个安全系统是完美的,2FA也不例外。谷歌账户安全团队的产品管理主管Guemmy Kim正确地指出了这一点我们所依赖的帐户恢复和2FA系统很容易受到网络钓鱼的影响.这就是坏人使用假网站来欺骗你输入私人信息的地方。
聪明的攻击者可能会用远程访问木马感染你的手机,使他们能够查看甚至拦截发送到你设备的短信验证码。或者他们可以创建一个令人信服的钓鱼页面,诱骗你输入从谷歌Authenticator等应用程序生成的一次性代码。即使是我最常用的纸质备份代码也可能被钓鱼网站拦截,骗我输入代码。
最奇特的攻击之一是SIM卡劫持,攻击者克隆你的SIM卡或欺骗你的电话公司注销你的SIM卡,以拦截你的短信。在这种情况下,攻击者可以非常有效地冒充您,因为他们可以把您的电话号码当作自己的。
普通的攻击就是普通的丢失和盗窃。如果你的手机或手机上的应用程序是你的主要身份验证器,而你失去了它,这将是一个令人头痛的问题。硬件键也是如此。虽然硬件安全密钥(如Yubico YubiKey)很难破解,但却很容易丢失。
Yubico Yubikey系列5有许多不同的配置。
帐户恢复问题
Ted在信中指出,除了硬件安全密钥之外,许多公司还要求您设置第二个2FA方法。例如,谷歌要求你使用短信,安装公司的Authenticator应用程序,或者注册你的设备,以接收谷歌的推送通知,以验证你的账户。您似乎至少需要这三个选项中的一个,作为您使用的任何其他2FA选项的备份,例如谷歌的泰坦钥匙.
即使您注册了第二个安全密钥作为备份,您仍然需要启用SMS、谷歌Authenticator或推送通知。显然,如果你想用谷歌高级防护计划,则需要注册第二个密钥。
类似地,Twitter还要求用户除了可选的硬件安全密钥外,还使用短信代码或验证程序。不幸的是,Twitter一次只允许注册一个安全密钥。
正如Ted所指出的,这些替代方法在技术上不如单独使用安全密钥安全。我只能猜测为什么这些系统以这种方式实现,但我怀疑他们想确保他们的客户总是可以访问他们的帐户。短信代码和身份验证应用程序是经过时间考验的选项,人们很容易理解,也不需要购买额外的设备。短信代码还可以解决设备被盗的问题。如果你的手机丢了或被偷了,你可以远程锁定手机,取消SIM卡的授权,换一部新手机,它可以接收短信代码,重新上网。
就我个人而言,我喜欢有多种选择,因为虽然我关心安全,但我也了解自己,知道我经常丢失或破坏东西。我知道,以前从未使用过2FA的人非常担心自己在使用2FA后会被锁定。
2FA实际上非常好
了解任何安全系统的缺陷总是很重要的,但这并不会使系统失效。虽然2FA有它的弱点,但它已经取得了巨大的成功。
同样,我们只需要看看谷歌。该公司要求在内部使用硬件2FA密钥,结果不言自明。成功接管谷歌员工的账户有效地消失了.考虑到谷歌员工在科技行业的地位和(假定的)财富,这一点尤其重要,他们是定向攻击的主要目标。这是攻击者在攻击中花费大量精力针对特定个人的地方。这种情况很少见,如果攻击者有足够的资金和耐心,通常会成功。
谷歌Titan安全密钥包包括USB-A和蓝牙密钥。
这里需要注意的是,谷歌需要特定类型的2FA:硬件安全密钥。与其他2FA方案相比,这些方案具有非常难以钓鱼或以其他方式拦截的优势。有人可能会说这是不可能的,但我亲眼目睹了泰坦尼克号的遭遇,所以更清楚。
尽管如此,拦截2FA短信代码或验证器令牌的方法相当奇特,并不能很好地扩展。这意味着他们不太可能被普通的罪犯利用,他们希望在像你这样的普通人身上尽可能快速和轻松地赚钱。
就Ted的观点而言:硬件安全密钥是我们所见过的最安全的2FA方式。它们很难被网络钓鱼,也很难被攻击,尽管它们确实是并非没有内在的弱点.此外,2FA硬件密钥在某种程度上是经得起未来考验的。许多公司正在远离短信代码,有些公司甚至已经接受了完全依赖于使用FIDO2标准的硬件2FA密钥的无密码登录。如果您现在正在使用硬件密钥,那么很有可能在未来几年都是安全的。
Nitrokey FIDO U2F承诺开源安全。
和硬件2FA密钥一样安全,更大的生态系统需要做出一些妥协,以避免不必要地锁定你的帐户。2FA需要成为人们真正使用的技术,否则它就一文不值。
如果有选择的话,我认为大多数人会选择应用程序和基于短信的2FA选项,因为它们更容易设置,而且有效地免费。这些可能不是最好的选择,但它们对大多数人都很有效。不过,这种情况可能很快就会改变,因为谷歌允许您使用运行Android 7.0或更高版本的移动设备作为硬件安全密钥.
尽管有其局限性,但2FA可能是自反病毒以来对消费者安全最好的东西。它巧妙而有效地防止了一些最具破坏性的攻击,所有这些都不会给人们的生活增加太多复杂性。无论你决定使用2FA,选择一个对你有意义的方法。不使用2FA比使用稍微不太好的2FA味道更具破坏性。
