如何保護你的賬戶安全?稍微懂一點網絡安全的人都會建議你,開啟兩步驗證。兩步驗證,簡單點說,就是在你輸入密碼後,要求你通過別的方式來獲取一串驗證碼,來確保登陸者是你。
的確,兩步驗證可以稱得上是個人信息安全中最為重要的一環,但也是被人接受最為緩慢的一環。雖然各主流網站都提供瞭這一選項,但用戶往往需要費一番功夫才能找到對應的設置項。因此,正式啟用這一功能的用戶寥寥無幾。
(比如蘋果的雙重認證就被放在瞭 Apple ID 選項內)
但是,隨著兩步驗證逐步被大傢接受、采用兩步驗證的站點的增多,傳遞驗證碼的介質也變得多樣起來:有些網站使用短信,有些使用電子郵件,還有些是利用像是 Google Authenticator 之類的軟件,更為極端的用戶則是采用硬件狗(可以把它理解為 U 盾)來生成驗證碼。而隨著這些驗證手段的增多,就連專註於兩步驗證評測的網站 TwoFactorAuth 都分不清楚哪種驗證方式是相對安全的。
在接受 The Verge 采訪時,TwoFactorAuth 的負責人這樣說道:
如果評估數百種兩步驗證服務(的安全系數)對我們來說已經很困難瞭的話,我無法想象普通用戶面對它們的時候會有多困惑。
在兩步驗證剛推出的時候,每個人都認為這是一種令人感到放心的驗證方式。但到瞭 2014 年,有越來越多的黑客通過各種各樣的方式繞過瞭這一驗證:有些是通過仿造 API token(可以理解為配置瞭一把萬能鑰匙),有些是通過社會工程學騙取你的賬戶恢復信息,甚至還有些是通過電信運營商,將受害者的驗證短信轉接到自己的手機上。而這些黑客攻擊往往圍繞著比特幣這一匿名貨幣展開的。就在上個月,某企業傢就因為 Verizon 客服的失職而損失瞭價值 8000 美元的比特幣。
除瞭比特幣以外,根據 The Intercept 本月的報道,俄羅斯在美國大選期間,已經有辦法繞過兩步驗證,來達到控制選舉人賬號的目的。而在另一篇報道中,因為 Facebook 的流程設計缺陷,黑客可以輕而易舉地關閉已經被打開的兩步驗證。
(美國國傢安全局解密的俄羅斯的賬戶竊取計劃,圖源:The Intercept )
深究下去,令兩步驗證不再安全的原因通常不是兩步驗證本身,而是那些恢復方案。通常情況下,恢復方案是用於用戶在不能夠接觸到兩步驗證設備的時候所采取的後備手段,就像是你傢大門的備用鑰匙一樣。
而在這些後備手段中,最難以攻破的薄弱點當屬移動運營商。如果你可以通過運營商將發送到指定號碼的信息和電話轉發到你的設備上,那麼你就可以繞過大部分的兩步驗證。甚至,對有些基於手機號碼登錄的應用來說,擁有手機號碼就相當於擁有瞭賬號的所有權。
(現在已經有多種方式來竊取發送到你手機上的驗證碼)
盡管美國國傢標準技術研究所 ( NIST ) 已經在呼籲大傢停止使用短信驗證,但很多科技公司仍然不為所動。畢竟,短信驗證是最為方便、簡單的兩步驗證方式。而對不太關心賬戶安全的人來說,他們並不關註兩步驗證本身是否安全,他們隻在乎自己的賬戶是否受到瞭保護。
現在,整個安全行業把目光投向瞭威脅檢測 ( Threat Detection ) 這一領域。系統通過檢測像是機器特征碼、用戶交互行為這些難以通過外力模仿的信息,來判定該登錄是否需要額外的驗證。這一系統從實質上來說,要比兩步驗證更為可靠。
可惜的是,盡管業界可以通過引入威脅檢測來增加賬戶的安全性,但除瞭開啟兩步驗證外,用戶永遠無法直觀感知到他的賬戶到底在多少程度上是安全的,也無法通過任何辦法來進一步加強對賬戶的保護。
而如何將威脅檢測具象化,讓用戶得以感知得到,將成為未來賬戶保護技術發展的關鍵。
題圖來自:ZDNet
