手机版
你好,游客 登录 注册
背景:
阅读新闻

在计算无处不在的时代,双因子认证方式(2FA)可能不再安全!

[日期:2016-04-10] 来源:Linux中国  作者:Linux [字体: ]

双因子认证(Two-Factor Authentication)(2FA)是一种生物识别技术,是保护用户在线数据的最强大的方法之一。两位阿姆斯特丹大学的研究人员最新发现了一种新的攻击方式,可以利用这种认证方式的设计缺陷让用户暴露在攻击风险之中。

两位研究人员 Radhesh Krishnan Konoth 和 Victor van der Even 说他们在 2014 年就发现了这个缺陷,已经警告了 Google 和其它的在线服务商,甚至还将他们的发现展示给了一些银行,但是没有人在意。

这两位研究人员解释说,因为到现在为止他们还没有公开具体细节,所以许多人认为这个漏洞并不危险,不值得注意。但是他们有不同的看法。

 

设备间的应用同步是 2FA 的阿喀琉斯之

如他们所解释,攻击并不是由于软件开发缺陷导致,而是由于 2FA  的设计缺陷导致的。现在有个概念叫做“计算无处不在”,让应用和内容在设备之间可以同步,而如果攻击者可以访问受害者的 PC 就会让 2FA 的保护失效。

由此,各种在线服务中的 2FA 认证机制的设计缺陷会让攻击者可以使用诸如 iTunes 或 Google Play 商店来将恶意应用推送到用户的手机上,而不会触发 2FA 认证系统,甚至可以在用户手机的首屏上展示图标。

当然,攻击者首先得能将他的恶意应用通过 Google 和 Apple 的审查放到他们的应用商店,不过最近看起来这种情况已经比较常见了。

此外,这也需要攻击者能够完全访问你的 PC,无论是可以直接接触访问,还是通过恶意软件控制你的设备,以及偷窃了你的账户。

 

跨设备的应用同步本身并不是问题,问题是实现方式不对

无论如何,风险依然是存在的。研究人员称,使用 2FA 的服务应该要非常注意在不同设备间的应用同步的实现方式。

在问及如何在 2FA 服务中修复这个问题,特别是对于使用这种服务的 Google 而言,研究人员说,最好的办法是“将应用安装过程(即提示用户该应用的所需权限的地方)放到手机上去,而不是将它们放到浏览器中”。

以及可以参考两位研究人员的论文:“计算无处不在如何干掉了你的基于手机的双因子认证”。

本文永久更新链接地址http://www.linuxidc.com/Linux/2016-04/130030.htm

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款