在醫(yī)學和終端用戶網(wǎng)絡安全方面，獲得第二種意見是一個好主意。雙因素認證(2FA)和多因素認證(MFA)是打擊涉及終端用戶設備和基于互聯(lián)網(wǎng)服務的各種網(wǎng)絡攻擊的有力工具。

但是有一個大問題：人們使用短信作為第二要素的情況過于普遍。這就把電話號碼變成了數(shù)字身份設備——它們被設計成一個糟糕的角色。如果有人丟失了智能手機或被盜取，他們也就失去了認證的機會。更糟糕的是，攻擊者可以將電話號碼轉(zhuǎn)讓給另一個人，而這個人現(xiàn)在會收到認證請求。下面是如何解決2FA和MFA手機問題的方法。

雙因素和多因素認證如何工作

這兩種預防措施都是通過使用一個以上的 "認證因素 "來工作。這個因素可以是用戶知道的、擁有的或者是他們身份的一部分(如指紋)。

最常見的組合之一是用戶名和密碼(用戶知道的東西)，加上通過短信發(fā)給用戶的智能手機的信息、鏈接或代碼(用戶擁有的東西)。

但也有其他的。認證因素可以是一個密碼、一項個人瑣事(例如母親的姓名)、一個鑰匙扣、臉部信息或其他許多因素。

現(xiàn)實生活中的多因素認證

這種情況每天都會發(fā)生上百萬次。一個用戶忘記了密碼，或者選擇了改變密碼。或者他們從不同的地方訪問一個網(wǎng)站，或者使用不同的設備，或者在一個網(wǎng)站上按固定的時間表檢查用戶。因此，網(wǎng)站通過短信向用戶的手機發(fā)送一個代碼、鏈接或密碼。

這樣做的問題是，它假設只有原始的、誠實的用戶才有可能獲得與短信配對的電話號碼。而這是一個糟糕的假設。

在過去，人們假設只有原始簽名人能夠以他們的方式寫出他們的簽名。那是一個相當好的假設。當我們假設只有真正的用戶可以擁有注冊的臉部或指紋時，這也是一個相當好的假設。但擁有一個電話號碼?就不是那么回事了。

事實證明，威脅者可以找出無線供應商網(wǎng)站上的哪些電話號碼是 "回收 "的號碼(曾經(jīng)使用過但現(xiàn)在放棄了)。然后，他們可以與泄露的登錄憑證相匹配，在暗網(wǎng)上出售。通過獲得這些電話號碼，他們可以通過重新設置密碼(用新的電話號碼確認)來劫持賬戶。

回收的電話號碼的問題

有研究人員抽查了美國兩家無線運營商提供的259個電話號碼。他們發(fā)現(xiàn)，其中171個號碼與不同網(wǎng)站的現(xiàn)有賬戶相匹配，100個號碼與網(wǎng)上泄露的憑證相匹配。

有趣的是，研究人員注意到，電話公司提供的新號碼是連續(xù)的號碼塊。但他們在非連續(xù)的區(qū)塊中顯示回收的號碼，暴露了它們以前被使用過的事實。研究人員說，攻擊者可以自動發(fā)現(xiàn)這些號碼。

研究人員還監(jiān)測了200個回收的號碼。在一個星期內(nèi)，他們發(fā)現(xiàn)其中約有10%的人收到了針對前主人的隱私或安全相關的信息。

該研究直接指出了2FA和MFA網(wǎng)絡安全中依賴電話號碼的漏洞。但事實也確實如此。

此外，在一個調(diào)查項目中發(fā)現(xiàn)，近三分之一(30%)的人通過短信使用2FA。(大約40%的人支持認證應用程序)。

超越短信代碼

基于短信的認證并不只是在某人的號碼改變時失敗。網(wǎng)絡犯罪分子可以使用任何數(shù)量的專業(yè)無線系統(tǒng)攔截短信。攻擊者可以欺騙、勒索或賄賂電話公司員工，將電話號碼轉(zhuǎn)移到網(wǎng)絡罪犯的SIM卡上(稱為SIM交換)。基于文本的代碼也可以通過網(wǎng)絡釣魚工具獲得。

底線是，電話號碼可以分配給一個以上的人。攻擊者(或事故)可以將手機與他們的主人分開。他們可以攔截短信或以其他方式闖入信息傳遞。因此，由于許多原因，包括短信在內(nèi)的2FA或MFA的安全性遠遠低于許多其他方法。

MFA的密碼元素是什么?

換句話說，在所有可用于多因素認證的因素中，到目前為止最常見的是用戶名/密碼以及短信。

發(fā)短信和智能手機是不安全的方法，這已經(jīng)很糟糕了，但用戶名和密碼也同樣不容樂觀。太多的用戶使用薄弱的密碼，他們在多個網(wǎng)站上重復使用這些密碼，而威脅者竊取了太多的密碼，并在暗網(wǎng)上提供給其他網(wǎng)絡犯罪分子。

提高2FA安全性和MFA的一舉兩得的方法是強制規(guī)定強密碼和使用密碼管理器。接下來，禁止基于文本的認證，以支持更安全的東西，如認證應用程序。有了這些，你就有了第一道防線。