我已经阅读了 Authy 网站并进行了一些 Google 搜索,但我不清楚破坏我的 Authy 帐户备份密码的攻击者是否可以在没有任何额外数据的情况下访问我的密钥。
例如,当我设置 Authy 应用程序时,我选择了密码“B4dpassw0rd”,并选择了备份我的密钥。如果攻击者猜到了我的错误密码,他们是否能够检索我的加密密钥并对其进行解密?
我希望不是这种情况的原因是,当我在手机上安装该应用程序时,我用一个电话号码注册了它,并通过短信收到了一个 2FA 令牌。因此,似乎有一些设备/帐户验证到位,但这可能是也可能不是用于加密我的备份的数据的一部分。
我是 Authy 的解决方案架构师,很高兴为您澄清这个问题。
正如您所指出的,我们确实需要密码来加密和存储您的“备份密钥”。
我们还有一个选择加入功能,允许在多个设备(iPhone、Android、Chrome 扩展程序)之间同步这些密钥。添加第二台设备时,您需要提供第一个电话号码才能访问这些密钥。此时,您可以选择短信/语音或“使用现有设备”(您的初始手机)通知来访问您的 Authy 帐户。
如果您选择短信或语音,您最初注册的电话号码将收到带有令牌的通知,以访问 Authy 帐户。
如果您选择“使用现有设备”,您将在最初注册的设备上收到以下提示,如下所示:
添加设备后,您始终可以从任何设备查看(和删除)与您的帐户关联的设备。
要回答您的问题,攻击者必须先通过令牌或您最初注册的设备上的“使用现有设备”功能批准添加另一台设备,然后攻击者才能将密钥同步到其他设备。如果他们能够提供此批准,那么他们已经可以访问您的主要电话......这并不理想。
我希望这可以为您解决所有问题。
干杯! - 乔什@Authy
tl;dr 即使使用您的密码,此攻击向量仍然需要您最初注册的电话号码的用户批准。
stl;dr 您的 Authy ID 与注册时最初使用的电话号码紧密相关。拥有“B4dpassw0rd”不会帮助攻击者。
无需访问用户手机,黑客就可以使用 SMS/Voice 选项并利用信令系统 7 (SS7) 协议中记录的漏洞来拦截令牌。他们还可以使用 IMSI 捕捉器窃听传输中的令牌。这不是 Authy 独有的,因为没有任何依赖 SMS 的 2FA 系统具有防止这种情况发生的机制。