雙因素身份驗證真的能讓您更安全嗎？

雙因素身份驗證(2FA)變得越來越普遍，但有一位讀者指出，它似乎很容易繞過它的保護。他是對的嗎?安全專家Max Eddy看一看。

本周，我正在挖掘我無底的郵袋，以解決另一個關于雙因素身份驗證的問題(2FA)。這是我之前提到的一個主題，但從我收到的關于它的問題的數量和特殊性來看，這顯然是許多人正在考慮的問題。由于我認為2FA可能是常規人員為保持網絡安全而做的最好的事情，我非常樂意無休止地談論它。

今天的問題來自泰德，他寫了一篇關于2FA系統是否真的全部被解決的文章。請注意，為簡潔起見，Ted的信件已經過編輯。Ted在2FA上引用了我的另一篇文章，開始了他的信息。

您寫道：“一旦您注冊了安全密鑰，短信密碼將成為備用選項，以防您丟失或無法訪問密鑰。” 如果這是真的，那么為什么這個設備比2FA SMS代碼更安全?正如你還寫道，“但手機可能會被盜，SIM卡頂起顯然是我們現在需要擔心的事情。”

什么阻止某人告訴谷歌他們是你，丟失了安全密鑰并需要將短信代碼發送到你的被盜/升級手機?如果我正確理解這一點，那么這個設備不比2FA SMS文本更安全。這是更方便，這是肯定的，但我沒有看到它是如何更安全。

所有這一切的結果是安全密鑰會增加您的安全性，但這只是因為您更有可能使用它，而不是因為它本身比2FA更安全?我錯過了什么?

你沒有錯過任何東西，特德。實際上，您很聰明地了解了圍繞在線身份驗證的許多安全性所基本的基本問題：您如何安全地驗證人員，而不會讓他們無法恢復帳戶?

2FA基礎知識

我們首先介紹一些基礎知識。雙因素身份驗證(2FA)是一種安全概念，您需要從可能的三個列表中提供兩個身份證明，稱為因子。

你知道的東西，比如密碼。

你有的東西，比如電話。

你是什么東西，比如你的指紋。

實際上，2FA通常意味著您在輸入密碼登錄網站或服務后再做的第二件事。密碼是第一個因素，第二個可能是使用特殊代碼發送到手機的SMS消息，或者是在iPhone上使用Apple的FaceID。這個想法是，雖然密碼可能被猜到或被盜，但攻擊者不太可能同時獲得您的密碼和第二個因素。

在他的信中，特德特別詢問硬件2FA密鑰。Yubico的YubiKey系列可能是最知名的選擇，但它遠非唯一的選擇。Google擁有自己的Titan Security密鑰，Nitrokey提供了一個開源密鑰，僅舉兩個。

實際陷阱

沒有安全系統是完美的，2FA也不例外。Google帳戶安全團隊的產品管理負責人Guemmy Kim正確地指出，我們依賴帳戶恢復和2FA的許多系統都容易受到網絡釣魚攻擊。這是壞人使用虛假網站誘騙您輸入私人信息的地方。

SecurityWatch聰明的攻擊者可能會使用遠程訪問特洛伊木馬感染您的手機，以便他們查看甚至攔截發送到您設備的短信驗證碼。或者他們可以創建一個令人信服的網上誘騙頁面，誘使您輸入從Google身份驗證器等應用程序生成的一次性代碼。甚至我的紙質備份代碼的選擇也可能被網絡釣魚網站截獲，該網站欺騙我輸入代碼。

最奇特的攻擊之一是SIM卡頂，攻擊者克隆您的SIM卡或欺騙您的電話公司取消注冊您的SIM卡，以攔截您的短信。在這種情況下，攻擊者可以非常有效地冒充您，因為他們可以將您的電話號碼用作自己的電話號碼。

一種不那么奇特的攻擊是普通的舊損失和盜竊。如果您的手機或手機上的應用程序是您的主要身份驗證器，并且您丟失了它，那將是一個令人頭痛的問題。硬件密鑰也是如此。盡管像Yubico YubiKey這樣的硬件安全密鑰很難破解，但它們很容易丟失。