双因素身份验证被认为是抵御黑客的坚实屏障,但国际特赦组织的一份报告显示,聪明人如何设法规避包括谷歌和雅虎在内的多家网络巨头的系统。通过完善的网络钓鱼过程,数千个帐户可能被黑客入侵。
对于大多数互联网用户来说,安全是其网络体验中最重要的方面之一。许多人都采用了双重认证系统为他们的在线帐户添加额外的保护。但这真的能让你刀枪不入吗?根据国际特赦组织的一份报告,事实并非如此,该报告描述了黑客如何在过去两年中通过绕过 Gmail(谷歌)和雅虎,包括 30 亿个账户被黑客入侵至今记忆犹新。
谷歌、雅虎:黑客如何设法绕过双因素身份验证
该伎俩与经典网络钓鱼攻击的过程非常接近,但要复杂得多。目标用户首先会收到一封电子邮件警报,将他们引导至陷阱站点。他们被邀请输入被黑客恢复的标识符。然后,后者使用收集到的数据请求双重身份验证,并邀请互联网用户输入通过短信收到的代码。之后他们设法访问受害者的帐户。一切都是通过自动化系统完成的。
需要澄清的是,这并不是影响双重认证系统的安全缺陷,而是一种巧妙的规避,只有在互联网用户的疏忽的帮助下才有效。为了避免被愚弄,报告建议用户使用物理设备进行双重身份验证。
提醒一下,谷歌最近推出了 Titan Security Key,这是一种双因素身份验证 USB 密钥加强其在线服务的安全性。
