SMS 仍然统治着两个因素,但问题是一刀切并不能解决所有问题。
围栏你的花园可以阻止入侵者,但它并不能完全阻止他们进入。 2因素身份验证(2FA)也是如此。使用户极易进入而黑客极难进入的工作正在进行中,但在我们有一个 100% 万无一失的解决方案之前,一次性密码作为第二个因素仍然可以说是最好的赌注。
开始
多年来,双因素身份验证一直是网络安全解决方案的一种手段,但大多数组织在 2012 年才开始部署 2FA。科技公司对它的重要性的认识相当缓慢,只有在一场要求公司采用双因素身份验证作为安全功能的大规模公开活动之后,它才获得动力。
举个例子,当用户访问网上银行服务时,除了用户名和密码外,还要求用户额外输入一个“二次密码”。第二因素密码是通过 SMS 提供的一次性密码 (OTP),纯粹出于安全原因设计为仅在短时间内有效。
2FA 应该是一站式安全修复
双因素身份验证要求用户提供三个凭据中的两个——这是你知道的;你拥有的东西;你是什么。
karl Rosengren 一直是各种组织采用 2FA 的不变因素,他向没有采用 2FA 的组织发送了数百条羞辱性推文。他的奉献似乎得到了回报,因为现在几乎所有大公司都提供某种双因素身份验证。但经过这么多年,现在看来 2FA 已成为一种更复杂的产品,因为有多种选择——短信;电子邮件;验证应用程序;专用U盘;嗓音;推送通知。
两因素身份验证的好处
- 提高安全性:由于需要第二种身份识别方式,SMS-2FA 降低了攻击者冒充用户并获得访问权限的可能性。
- 提高生产力和灵活性:移动性有助于提高生产力,而且大多数企业都在转向移动化。借助移动 2FA,员工可以安全地访问任何信息,而不会将网络或敏感信息置于风险之中。
- 降低服务台和安全管理成本:根据一项研究,35-40% 的服务台呼叫与密码相关。通过为最终用户提供一种安全的方式来重置自己的密码,双因素身份验证可以帮助减少这些耗时的呼叫。
- 减少欺诈并建立安全的在线关系身份盗窃呈上升趋势,它对客户关系、臀部、可信度和底线产生直接影响。 2FA 提供了一个额外的层来保护站点、交易和客户。
研究人员展示了如何劫持短信——不要让这成为对使用 SMS 进行双因素身份验证持怀疑态度的理由。
几乎所有 Web 服务都提供某种双因素身份验证,但并非所有服务都是安全的。 2FA 的一般框架仍然提供保护,但它有其局限性,这就是为什么越来越多的组织依赖于两个因素它是不够的。
2FA 似乎不再是它被誉为的安全战士
到 2014 年,很明显黑客和网络犯罪分子已经开始通过拦截令牌来寻找绕过额外安全性的方法。随着犯罪分子现在瞄准加密货币,他们愿意更进一步,而这些攻击继续对加密货币用户构成威胁。
真正的问题不在于 2FA,而在于它周围的东西——设备、运营商帐户、帐户恢复过程。如果这些事情中的任何一个可以被突破,那么您的安全就会受到损害。
- 尽管 2FA 降低了访问敏感数据的风险,但它并不能完全抵御其他网络犯罪活动
- 双因素身份验证的物理因素可能会丢失或被盗。
- 通过使用允许使用临时电子邮件和重置密码的“帐户恢复”功能,可以绕过 2FA。
幸运的是,并非所有 2FA 都是平等的。
仅通过添加身份验证代码,您不能指望攻击者避开。尽管它确实加强了登录页面,但攻击者会找到另一种重置密码的方法。黑客知道哪里需要注意的正是这些弱点。超越两个因素不是解决方案,但使用技术进步使其万无一失是小时的需要,就像 MSG91 的 SendOTP 一样。
通过 2FA 实施,您每次在新设备上登录帐户所需的时间会稍长一些,从长远来看是值得的,以避免一些严重的在线盗窃。看看谁搞定了他们的 2FA
– 谷歌
– Facebook
– Instagram
– 推特
– WhatsApp
– 苹果
– 微软
– 亚马逊
– 雅虎
– 领英
– Snapchat
– Pinterest
一些研究人员正忙于发现 2FA 的弱点,而有些研究人员则忙于简化它,使其通过声波振动令牌更加安全。
如果获得两个因素似乎还不够,我们准备好迎接什么了吗?
为生物特征认证让路:
使用生物识别技术作为第三因素身份验证仍在争论中。尽管它正在迅速成为使用面部识别、指纹、声纹、虹膜扫描来保护您的帐户的最相关的身份验证手段之一,但主要问题仍然存在。
如果生物识别被泄露,请说出您的声纹;您无法更改声音并重新开始。
在我们有一些渐进式安全选项之前,让我们不要忽视保存密码的东西。