我們不能說太多:在所有提供多重身份驗證的線上服務上使用多重身份驗證至關重要。提醒一下,這個解決方案確實有點限制性,它包括創建第二個鎖,從根本上限制透過應用程式、簡訊或金鑰入侵您的帳戶的可能性。
因此,即使網路犯罪分子設法以某種方式恢復您的密碼,他們也將面臨第二堵牆,突破這堵牆來存取您的帳戶要困難得多。
“MFA疲勞”,一種殘酷但有效的技術
比較困難,但不幸的是並非不可能,如圖所示最近的 Uber 駭客事件。 VTC 巨頭的駭客確實設法繞過了雙重身份驗證,但該雙重身份驗證在他所針對的服務提供商的智慧型手機上啟動了。
至少可以說,他的技術是漫不經心的。他首先設法恢復了他的密碼,據稱他是在一個陰暗的暗網論壇上獲得的。然後他必須繞過第二個身份驗證因素的保護。為了做到這一點,他並不小心:他只是向受害者“發送垃圾郵件”連接請求:服務提供商在他的手機上“連續”收到這些請求,毫無疑問是通過像這樣的應用程序微軟身份驗證器。Uber 服務提供者多次拒絕了他的請求,但是,可能是由於疏忽或厭倦了看到所有這些通知的出現,最終批准了一個請求…從而將他的帳戶金鑰交給了駭客。
這項技術雖然不是很複雜,但正在蓬勃發展。微軟在 Uber 駭客攻擊事件後進行了溝通,顯示 MFA 請求為“垃圾郵件”(倒多因素身份驗證)近幾個月來,網路犯罪分子的攻擊不斷增加。並立即採取措施,盡量限制損失。
因此,Authenticator 很快就會要求所有使用者輸入請求身份驗證的裝置上顯示的代碼。透過這種方式,不可能無意中驗證連接......同時使駭客的任務變得複雜。身份驗證器還將提供一張地圖,顯示請求的來源,以便更輕鬆地發現有問題的請求。
網路釣魚還沒結束
「MFA 疲勞」並不是繞過雙重認證的唯一方法。現在有「交鑰匙」解決方案,可以為網路犯罪分子提供更輕鬆地誘騙您的方法。
我們向您介紹 EvilProxy 的情況尤其如此幾週前。這種網路釣魚服務透過在許多網路犯罪分子經常光顧的論壇上訂閱提供,非常聰明:它充當您與合法服務(例如來自 Google、Microsoft 或 Facebook 的服務)之間的網關。
您在一個看起來與真實網站一模一樣的網站上輸入密碼,然後輸入第二個身份驗證因素……但它顯然是一個假網頁。在幕後,EvilProxy 將與真實網站進行通信,收集所有流量和您的連接資料。
為了保護自己免受這種攻擊,好的舊技術仍然是當今的慣例:在輸入憑證之前始終驗證網站位址,並確保其合法。
網路犯罪分子劫持雙重認證的方法無疑表明了一件事:是時候結束密碼及其糟糕的安全性了,而 MFA 遠未完全糾正這一點。幸運的是,事情終於有了進展。 Google、蘋果、微軟都接受了這個標準多設備 Fido,它應該很快就會為我們(至少在許多流行的服務上)提供一個更簡單、更安全的身份驗證系統,這將保護我們免受網路釣魚嘗試和密碼盜竊的侵害。是時候了。
