您可能已经听说过谷歌推出的一款新奇产品:一款名为 Titan 安全密钥的小型设备,可用作双重身份验证的一种形式。这意味着您将使用该小工具作为登录过程的一部分,以验证“您确实是您”。您无需接收带有验证码的短信,只需将安全密钥插入电脑并按一下按钮即可。
您现在还买不到这款产品(谷歌表示很快将面向公众发售),但这项公告是一个很好的提醒:为您的账户设置双重身份验证是保护您的信息隐私最简单的方法之一——即使您的用户名和密码已被泄露。
“我们一贯发现,在大量的网络安全事件中,如果当事人使用了某种多重身份验证,他们至少能延缓——或使攻击者更难——获得访问权限,” Area 1 Security 公司首席执行官 Oren Falkowitz 表示,该公司致力于防止网络钓鱼攻击。
简而言之:使用双重身份验证很明智,但物理密钥并非您的唯一选择。
发短信给我?
安全专家表示,通过短信接收验证码是双重身份验证选项中最薄弱的。通过短信进行验证非常简单:您尝试登录一个账户,但首先需要输入发送到您手机的验证码。设置和理解都很容易——当然比没有好——但这种方法也有其缺陷。
“我会说短信是目前最差的,”卡内基梅隆大学计算机科学教授、前联邦贸易委员会首席技术官 Lorrie Faith Cranor 表示。“[这是]因为短信依赖于电话网络中不安全的通道,该通道从未 intended 用于安全目的。”
除了通道不安全这一事实外,使用短信接收验证码的一个相关问题是“账户劫持”,Cranor 说。在这种情况下,攻击者可能会采用类似这样的策略:他们会去一家手机店,假冒他人,然后将受害者的手机号码转移到新手机上。
Cranor 说,这可能导致攻击者从受害者银行账户中提取资金等令人不快的场景。“我们也见过他们攻击受害者的 Twitter 账户,然后开始以受害者的名义发推文,”她补充道。
实际上,别发短信给我
安全专家表示,有比仅仅通过短信接收验证码更好的选择。其中一种是使用 Authy 或 Google Authenticator 等应用程序生成您所需的六位数字。这些验证码会在设定的时间内过期,就像《碟中谍》中的自毁信息一样。
当然,还有使用插入电脑或通过蓝牙连接的小工具。一个广为人知的选择是 YubiKey,另一个是谷歌即将推出的产品。Shape Security 公司安全总监 Amine Hambaba 表示:“绕过物理安全令牌非常困难。”这是因为即使远程攻击者可以访问您的用户名和密码,他们仍然需要获得一个实体对象。
谷歌表示,他们在内部使用这些密钥取得了成功。一位公司发言人通过电子邮件表示:“自谷歌实施安全密钥以来,我们没有收到任何已报告或已确认的账户被盗事件。” Titan 密钥不仅适用于谷歌账户,您还可以将其用于支持使用安全密钥的其他账户。
最终,物理密钥是保护账户的有力方式,但它并非抵御所有在线威胁的盾牌。例如,拥有一个密钥并不能阻止您下载恶意文件。并且使用物理对象进行身份验证显然存在缺点。
卡内基梅隆大学的 Cranor 说:“我认为这对安全有好处,但它并不总是最方便的方法。”这是因为您必须随身携带它才能实际使用它,就像一个老式的家门钥匙。“这是另一件需要保管和操作的事情,”她补充道。
无论您是否打算购买谷歌密钥,为允许双重身份验证的关键账户启用它都是有意义的——请立即前往 Facebook 和 Gmail 等网站进行操作。
