如何解决双因素和多因素身份认证的大问题
但是有一个大问题:很普遍地,人们把短信作为第二个因素。这就把电话号码变成了数字身份设备——这个角色被设计得很糟糕。如果有人丢失了智能手机或智能手机被盗,他们也无法获得身份验证信息。更糟糕的是,攻击者可以将电话号码转移给另一个人,这个人将会收到身份验证请求信息。以下是如何处理2FA和MFA的电话问题:
双因素和多因素认证的原理
这两种预防措施都可以使用多个“身份验证因素”,这些因素可能是用户知道的、拥有的或者是属于他们自身的一部分(比如指纹)。
其中最常见的组合之一是用户名和密码(用户知道的东西),再加上通过短信发送到用户智能手机(用户拥有的东西)里的消息、链接或代码。
但也还有其他的因素,身份验证因素可以是个人识别码、个人相关的(例如,母亲的娘家姓)、钥匙链、您的脸或许多其他因素。
现实生活中的多因素身份验证
它每天使用一百万次。用户会忘记密码,或选择更改密码。或者他们从不同的地点访问网站,或者使用不同的设备按固定时间表检查用户访问网站。因为,该网站会通过短信向用户的手机发送代码、链接或密码。
这样做的问题在于,它假设只有原始的、真实的用户才能访问与文本配对的电话号码。这是一个糟糕的假设。
在过去,人们认为只有原始的签名者才能按照他们的方式书写签名。这是一个很好的假设。当我们假设只有真实用户才能拥有注册人的人脸或指纹时,这也是一个很好的假设。但是只拥有一个电话号码?不太可能。
事实证明,威胁行为者可以找出无线提供商网站上的哪些电话号码是“回收的”号码——曾经使用过的但现在被弃用了。然后,它们可以与在暗网上出售的泄露的登录凭证相匹配。通过访问电话号码,他们可以通过重置密码(用他们的新号码确认)来劫持账户。
循环使用电话号码的问题
普林斯顿大学的研究人员抽样了两家美国无线运营商提供的259个电话号码。他们发现,其中171个与各个网站上的当前账户相匹配,100个与网络上泄露的登录凭证相匹配。
有趣的是,研究人员还注意到电话公司以连续号码块的形式提供新号码。但会以非连续的块显示回收的数字,揭示了它们以前被使用过的事实。据研究人员称,攻击者可以自动发现这些数字。
研究人员还监测了200个回收的号码。在一周内,他们发现大约10%的人收到了针对上一个机主的隐私或安全相关信息。
普林斯顿大学的研究直接指出了依赖电话号码的2FA和MFA网络安全的巨大漏洞。但事实也是如此。
此外,一名为 TwoFactorAuth.org的众包项目发现,近三分之一(30%)通过短信使用2FA。(大约40%的用户支持身份验证应用程序。)
超越短信代码
基于文本的身份验证不会在某人的号码更改时失败。网络犯罪分子可以使用任意数量的专用无线系统拦截短信。攻击者可以欺骗、勒索或贿赂电话公司的员工,将电话号码转移到网络犯罪分子的SIM卡(称为SIM交换)。基于短信的代码也可以通过网络钓鱼工具获得。
底线是,电话号码可以分配给多个人。攻击者(或意外事故)可以将手机与机主分开。他们可以拦截文本或以其他方式侵入消息传递。因此,由于多种原因,包括短信在内的2FA或MFA远不如许多其他方法安全。
那么MFA的密码元素怎么样呢?
换句话说,在所有可用于多因素认证的因素中,目前最常见的是1)用户名/密码;以及2)文本。
短信和智能手机是不安全的方法已经够糟糕了,但用户名和密码也是如此。太多的用户在多个网站重复使用他们的弱密码,威胁行为者窃取了太多的这些密码,并在暗网上提供给其他网络罪犯。
提高2FA安全性和MAF的关键是要求使用强大的密码和使用密码管理器。接下来,禁止基于文本的身份验证,转而采用更安全的方式,比如身份验证应用程序。有了这些,您将会拥有第一道防线。
来源网站:securityintelligence.com 沃通WoTrus原创翻译整理,转载请注明来源
