《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 双因素认证2FA--想说爱你不容易

双因素认证2FA--想说爱你不容易

2021-07-29
来源:网空闲话
关键词: 双因素 2FA

  Twitter公司近日发布报告称,采用双因素的用户仍然少得惊人,这在网络安全专业人士中引发了愤怒和沮丧。双因素身份验证(2FA)是推特针对账户泄露的最强保护措施之一。启用2FA可以确保即使账户口令被泄露(可能是由于在其他不太安全的网站上重复使用了您的Twitter口令),攻击者仍将被阻止登录用户的账户。

  网络安全专家可能是一群脾气暴躁的人。这些争论和争议持续了几十年(有人提出负责任的信息披露吗?),而且很难从所有利益相关者中找到关于最佳风险缓解决策的共识。

  一个出人意料的结果?

  有一个非常值得注意的例外:多因素认证(MFA)被普遍认为是一种跳跃式的安全措施,可以大幅减少身份盗窃和在线欺诈等在线威胁。安全专家经常建议用户在可用的地方使用MFA技术,突显额外的身份验证对阻止恶意黑客的价值。

  你一定不会忘记2020年那个猜对美国前总统特朗普推特账号口令的盖弗斯。他如此容易地进入特朗普的推特账户说明特朗普并没有采取基本的安全措施,例如开启双重验证。当时特朗普推特账号的口令是“maga2020”。

  《卫报》报道称,这不是盖弗斯第一次黑进特朗普的账号了。2020年早些时候盖弗斯曾宣称,2016年他和另外两人就登陆过特朗普的推特账户,那时候特朗普用的密码是“yourefired”(你被炒了),这是特朗普在主持某美国真人秀节目时用过的口头禅。

  尽管如此,经过十年的宣传和在创新上的数百万投入,MFA的整体应用仍然停滞不前,Twitter的最新数据显示了一个惊人的事实。

  在推特本月发布的一份新的透明度报告中,这家社交媒体巨头表示,去年7月至12月,其所有活跃账户中只有2.3%启用了至少一种双因素认证方法。

  更糟糕的是,在选择启用口令验证功能的仅有2.3%的用户中,80%的用户使用了更弱的基于短信的身份验证,众所周知,这种身份验证很容易受到网络钓鱼和sim卡劫持攻击。

  Twitter承认,这是整个行业的一个重大问题。“总的来说,2FA的使用率仍然相对较低,这对整个行业来说是一个不幸的挑战。当账户不支持2FA时,我们只能依靠不那么强大的机制来帮助保持Twitter账户的安全。”

  “总的来说,这些数字表明,我们仍需要鼓励更广泛地采用2FA,同时努力提高账户使用2FA的易用性。让2FA方法更简单、用户更友好,将有助于鼓励采用,并提高Twitter的安全性。”

  Twitter称赞2FA是“我们针对账户泄露的最强保护措施之一”,并指出它有助于减轻口令重用或数据盗窃的威胁,因为Twitter账户可能是数据转储的一部分。

  有趣的是,Twitter提供了几种类型的双因素认证,包括使用认证应用程序的能力,硬件安全密钥,甚至是文本消息/短信选项,这是有风险的,但总比没有好。

  “虽然任何形式的2FA都比完全不启用2FA安全得多,但有些形式的2FA比其他形式的2FA更安全。总的来说,基于短信的2FA是最不安全的,因为它容易受到sim劫持和网络钓鱼攻击,”Twitter的透明度报告写道,尽管它指出,大多数启用MFA的用户都在使用短信方式。

  为什么用户不启用2FA?

  安全专家对推特上的这些数字既有警惕,也有愤怒。

  “你想让我从哪里开始?”一位人脉广、负责大规模部署MFA的安全专业人士问道。“建立MFA的用户体验是一场灾难。这是一场更大的灾难,因为每个人的做法都不一样,任何事情都没有标准。您不能将从一次部署中吸取的经验教训用到下一次部署中。这只是乱。”

  安迪·埃利斯(Andy Ellis)是一位经验丰富的安全主管,目前担任YL Ventures的运营合伙人。艾利斯说:“如果手机丢了却没有办法恢复账户,那就不值得了。”这位前Akamai安全主管表示,Twitter和用户之间缺乏付费关系,也加剧了低采用率。

  微软的David Weston表示,创建安全机制和将其作为可选特性启用之间存在脱节。

  Weston在Twitter讨论中表示:“可选的安全性总是意味着低价值。”他指出,技术供应商需要更加努力,使整个过程更加透明,对所有人来说都更容易。

  另外一个小问题是,由于浏览器会话寿命长,大多数平台上越来越多的用户实际上不知道自己的口令。正如一位安全专家所解释的那样,双因素认证仅适用于记住口令或使用口令管理器的人。

  Color Health的安全主管Will Gregorian说,全行业MFA的使用率仍然很低,因为MFA的申请和设置过程可能充满了不便,而且担心被永久锁定账户。“用户界面是不一致的,”Gregorian说,并指出当用户启用MFA并仍然收到数据泄漏通知时,负面模式会得到加强。

  这些问题比糟糕的用户体验或对账户锁定的担忧更为严重。在某些情况下,一些金融服务的在线提供商甚至推出了定制的双因素技术,绕过了行业标准,给生态系统增加了更多摩擦。

  未来之路何在?

  总的来说,2FA的使用率仍然相对较低,这对整个行业来说是一个不幸的挑战。当账户不启用2FA时,我们只能依靠不那么强大的机制来帮助保持Twitter账户的安全。然而,令人鼓舞的是,在报告期间,2FA的使用显著增加,因为这表明人们越来越多地使用2FA来保护他们的Twitter账户。

  安全密钥虽然是最安全的2FA形式,但仍然是相对较新的。在过去的一年里,Twitter已经对我们的安全密钥支持进行了大量的改进,我们希望在下一个报告时间间隔内看到使用量的增长。

  总的来说,这些数字表明了继续鼓励更广泛采用2FA的必要性,同时也在努力提高账户使用2FA的易用性。让2FA方法更简单、用户更友好将有助于鼓励采用并提高Twitter的安全性。




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。

相关内容