雙重認證被認為是抵禦駭客的堅實屏障,但國際特赦組織的一份報告顯示,聰明人如何設法規避包括谷歌和雅虎在內的多家網路巨頭的系統。透過完善的網路釣魚過程,數千個帳戶可能被駭客入侵。
對於大多數網路使用者來說,安全性是其網路體驗中最重要的方面之一。許多人都採用了雙重認證系統為他們的線上帳戶添加額外的保護。但這真的能讓你刀槍不入嗎?根據國際特赦組織的一份報告,事實並非如此,該報告描述了駭客如何在過去兩年中繞過 Gmail(Google)和雅虎,包括 30 億個帳號被駭客入侵至今記憶猶新。
該伎倆與經典網路釣魚攻擊的過程非常接近,但要複雜得多。目標用戶首先會收到一封電子郵件警報,將他們引導至陷阱網站。他們被邀請輸入被駭客恢復的識別碼。然後,後者使用收集到的資料請求雙重身份驗證,並邀請網路使用者輸入透過簡訊收到的代碼。之後他們設法存取受害者的帳戶。一切都是透過自動化系統完成的。
需要澄清的是,這並不是影響雙重認證系統的安全缺陷,而是一種巧妙的規避,只有在網路使用者的疏忽的幫助下才有效。為了避免被愚弄,報告建議使用者使用實體設備進行雙重身份驗證。
提醒一下,Google最近推出了 Titan Security Key,這是一種雙重認證 USB 金鑰加強其線上服務的安全性。
