如何保护你的帐号安全?稍微懂一点网络安全的人都会建议你,开启两步骤验证。两步验证,简单说,就是在你输入密码后,要求你透过别的方式获取一串验证码,来确保登入者是你。
的确,两步骤验证可以称得上是个人资讯安全中最重要的一环,但也是被人接受最缓慢的一环。虽然各主流网站都提供这选项,但用户往往需要费一番工夫才能找到对应的设定选项。因此,正式启用这功能的用户寥寥无几。
▲比如苹果的双重认证就放在Apple ID选项内。
但是,随着两阶段验证逐步被大家接受、采用两步骤验证的站点增多,传递验证码的介质也变得多样起来:有些网站使用简讯、有些使用电子邮件,还有些利用像是Google Authenticator 之类的软件,更极端的用户是采用加密狗来生成验证码。随着这些验证手段增多,就连专注于两步骤验证评测的网站TwoFactorAuth 都分不清楚哪种验证方式相对安全。
在接受The Verge 采访时,TwoFactorAuth的负责人这样说:
如果评估数百种两步骤验证服务(的安全系数)对我们来说已经很困难,我无法想像普通用户面对它们的时候有多困惑。
在两步骤验证刚推出时,每个人都认为这是让人放心的验证方式。但到了2014年,越来越多黑客透过各种方式绕过验证:有些是透过仿造 API token(像配了一把万能钥匙),有些是透过社会工程学骗取你的帐号恢复资讯,甚至还有些是透过电信公司,将受害者的验证简讯转到自己的手机上。而这些黑客的攻击往往围绕着比特币这一匿名货币展开,就在上个月,某企业家就因为Verizon 客服的失职而损失了价值8,000美元的比特币。
除了比特币以外,根据The Intercept 6月的报导,俄罗斯在美国大选期间,已有办法绕过两步骤验证,达到控制选举人帐号的目的。在另一篇报导中,因为Facebook的流程设计缺陷,黑客可以轻而易举地关闭已打开的两步骤验证。
▲美国国家安全局解密的俄罗斯的帐号窃取计画。
深究下去,让两步骤验证不再安全的原因通常不是两步骤验证本身,而是那些恢复方案。在一般情况下,恢复方案是用于用户不能接触到两步验骤证装置时采取的后备手段,就像你家大门的备用钥匙。
在这些后备手段中,最难以攻破的薄弱点当属电信公司。如果你可以透过电信公司将发送到指定号码的资讯和电话转发到你的装置上,那么你就可以绕过大部分的两步骤验证。甚至,对有些利用手机号码登入的应用软件来说,拥有手机号码就相当于拥有帐号的所有权。
尽管美国国家标准技术研究所(NIST)在呼吁大家停止使用简讯验证,但很多科技公司仍然不为所动。毕竟,简讯验证是最方便简单的两步骤验证方式。而对不太关心帐号安全的人来说,他们并不在意两步骤验证本身是否安全,他们只在乎自己的帐号是否受到保护。
现在,整个资安行业把目光投向威胁检测(Threat Detection)这领域。系统透过检测像机器特征码、用户互动行为这些难以透过外力模仿的资讯,来判定该登入是否需要额外验证。这系统从实质上来说,要比两步骤验证更可靠。
可惜的是,尽管业界可透过引入威胁检测来增加帐号安全性,但除了开启两步骤验证,用户永远无法直接感觉他的帐号到底多少程度上是安全的,也无法透过任何办法加强保护帐号。
如何将威胁检测具象化,让用户得以感觉到,将成为未来帐号保护技术发展的关键。
