每个人都知道,两个因素胜于一个因素。我的问题是,通常唯一允许的第二个因素是发送到您手机的短信。这产生了两个问题:
我经常出国旅行,每当关联的 SIM 卡无法连接网络时,我就无法访问 2FA 帐户。
您的手机本质上是您最不安全的设备。我在手机上安装的软件和下载的文件比其他任何地方都多,但验证来源或控制访问的能力要差得多。例如,几乎每个应用程序都需要广泛的权限才能正常运行。即使是没有被授予明确权限的应用程序也被发现通过谷歌服务对这些权限进行后门。
我觉得将我的手机链接到敏感账户(例如银行)实际上会使它们更容易受到攻击并且更难以维持合法访问。
2FA via mobile 是最好的安全措施吗?不是。SMS 2FA 是 2FA 的最弱形式,但是,它仍然是值得的,因为它确实提高了安全性,并且进入门槛相对较低,尤其是对于非技术用户而言。
有什么可以改进的?您可以使用Google Authenticator 等应用程序使用TOTP 令牌。这仍然使用您的手机,但它不依赖于电话号码,因此即使您的手机没有连接,您仍然可以使用 OTP。
下一步是使用符合 U2F 或 WebAuthn 的专用硬件令牌,如 RSA 令牌或 Yubikey。网站支持相当有限,仅限于一些主要网站,但如果它可用,它是一个很好的选择。Google Accounts 也是 OAuth 提供商,因此您可以将其用于社交网络登录。
SMS 2FA 不仅是一个坏主意。这比根本没有 2FA(仅密码)更糟糕。这是因为几乎所有提供“SMS 2FA”的服务实际上都在提供 SMS 1FA!也就是说,它们允许通过 SMS 恢复完整的帐户,而无需提供帐户密码。这意味着任何能够:
几乎可以完全接管您启用短信“2FA”的任何帐户。过去,这类攻击仅限于与数字相关的高价值账户(在加密货币交易所持有大量余额的账户、政治人物和名人的电子邮件和社交媒体账户等)的目标,但正在增长到对所有人构成威胁,甚至可能是随机的无目标攻击。
如果您需要 2FA,请使用 TOTP 软件或硬件令牌。您不仅不应该启用 SMS 2FA;您甚至不应该将您的手机号码提供给您持有有价值帐户的服务,因为如果他们将您的号码存档,他们将不可避免地使用您的号码作为 SMS 1FA。
这取决于您与什么比较,您必须保护什么以及您的用户可以付费和培训使用什么。
手机 2FA 容易出现手机盗窃、手机恶意软件、手机运营商的 SIM 更换(错误)程序、移动网络漏洞等。
但是,它比用户密码的 1FA 好得多。因此,它在保护大量事物方面迈出了很好的一步。攻击者不仅要窃取密码,还要以某种方式攻击您的手机。对电话的攻击要么很容易被发现(电话丢失或无法工作),要么很复杂。
我的银行为其网上银行的有限功能提供(以及更好的选择)SMS 2FA。他们必须。他们的很多客户都懒得使用更复杂的东西,如果你强迫他们,他们只会找到另一家银行。
您的第一个担忧是一个非常现实的问题,服务不了解有时,某些客户可能无法访问短信——这些服务是错误的。
但是,在手机上运行其他软件并不是通过 SMS 进行 2FA 的最糟糕的问题。
好的,一些不良行为者会读取一次性 6 位数的授权令牌。他们无法可靠地向您隐藏此短信,因此“在其他设备上伪造访问您的帐户,在合法设备上偷偷读取 2FA 代码,并将其传递(例如通过互联网)到攻击设备”的场景并不十分可能。
最糟糕的是,很容易破坏这个频道。政府可能会命令您的蜂窝运营商为他们提供短信后门。犯罪分子可以使用人体工程学来获取您 SIM 卡的非法副本,或者偷偷安装设备来拦截仅供您查看的短信。