如果你的手機上設置了多因素身份驗證，那么你必須輸入一個短信驗證碼，才能在一個新設備登錄電子郵件或銀行賬戶。但你可能沒有意識到的是，新的詐騙手段使得使用短信、電子郵件或語音通話發(fā)送的驗證碼的安全性不如以前。

多因素認證是澳大利亞網(wǎng)絡安全中心推薦的安全措施之一，為企業(yè)減少了遭受網(wǎng)絡攻擊的風險。但上個月，在一份名單更新后，通過短信、電子郵件或語音通話進行的身份驗證被降級，它們不再被認為是安全的最佳選擇。

什么是多因素身份驗證?

多因素身份驗證是指通過不同的方式進行身份驗證。例如，除了輸入密碼，你還需要輸入額外的身份驗證碼，這個驗證碼會通過短信、電子郵件或語音郵件發(fā)送到你的手機。銀行已經(jīng)提供了這個功能，一個“一次性”的驗證碼會發(fā)送到你的手機，以確認授權(quán)來進行交易。

可能很多人會想，多因素身份驗證使用兩個獨立的通道，驗證碼是隨機生成的，驗證碼的有效期是有限的，那怎么可能出錯呢？假設有人偷了你的手機，如果罪犯想要登錄你的銀行賬戶，銀行會向你的手機發(fā)送一個身份驗證碼。根據(jù)你的手機設置，即使手機仍然是鎖定的，驗證碼可能仍會在手機屏幕上彈出。罪犯就可以輸入密碼，進入你的銀行賬戶。請注意，“防打擾”設置沒有任何幫助，信息仍然會出現(xiàn)。為了避免這個問題，你需要在手機設置中完全禁用信息預覽。

還有一種更復雜的黑客手段涉及“SIM交易”。如果罪犯有你的一些身份信息，他們可能會欺騙電話服務提供商，讓服務商認為他們就是你，并要求服務商把新SIM卡發(fā)給他們。這樣，這些驗證碼就會發(fā)送到罪犯的手機上了。幾年前，一名美國科技記者就遇到過這種情況，一名黑客拿到了他的SIM卡，又切斷了他手機的網(wǎng)絡服務，黑客就修改了他的Gmail密碼、Facebook密碼。大約兩分鐘后，他就被鎖在了他的數(shù)字生活之外。

接下來的問題是，你是否希望向正在使用的服務提供你的電話號碼。近日，F(xiàn)acebook要求用戶提供自己的電話號碼以確保賬戶安全，但隨后又允許其他人通過電話號碼搜索個人資料，因此而遭到了抨擊。據(jù)報道，他們還利用目標用戶的電話號碼來投放廣告。

并不是說分割身份檢查是一件壞事，只是說通過不太安全的方式發(fā)送身份驗證會產(chǎn)生一種虛假的安全感，實際上這種方法的安全性可能比完全不使用這些方法更低。多因素身份驗證很重要——只要你通過正確的通道進行身份驗證。

哪種身份驗證組合最好？

第一種是用密碼和物理訪問卡。雖然這種組合被破解不是不可能，但是很難。網(wǎng)絡罪犯必須同時獲得這兩種身份才能冒充你。
第二個組合是密碼和聲紋。聲紋識別系統(tǒng)會記錄你說的特定密碼，然后在你需要驗證身份時進行聲音匹配。但你的聲音能被偽造嗎?在數(shù)字軟件的幫助下，可能會把你的聲音錄音、解壓并重新排序，以產(chǎn)生所需的短語。這有點挑戰(zhàn)性，但并非不可能。
第三種組合是卡和聲紋。這個選擇消除了對密碼的需要，因為密碼可能被竊取，并且只要您保持物理令牌（卡或密鑰）的安全性，其他人就很難模仿您。

目前還沒有完美的解決方案。使用多因素身份驗證的哪種組合取決于你在可用性和安全性之間的取舍。

ice

收藏 海報分享