产业气象站|设备感知2FA如何击败社会工程攻击( 二 )
使用传统的基于SMS的双因素身份验证 , 网站将发送包含密码的SMS 。 而使用设备感知双因素身份验证 , 该网站会发送一条带有一个或多个可点击链接的SMS , 例如 , 在问题“您是否要求重置密码?”下有两个可点击的答案 , 分别代表“是”和“否” 。 当用户单击“是”链接时 , 网站将自动检查设备配置文件 。
除非攻击者成功偷走了受害者的手机并且已将其解锁 , 否则攻击者的设备将无法被识别为“先前已与该账户关联” , 而且网站也会拒绝攻击者的访问请求 。 (如果用户点击“否” , 那么用户和站点都将意识到攻击行为 , 并可以采取措施来恢复安全性 。 )
识别设备的方法
设备感知双因素身份验证机制利用设备识别技术 , 且已经广泛部署到全球各地 , 但是使用它们的方式却有所不同 。 这些设备识别技术可以结合使用 , 包括网站将各种类型的Cookie放置在设备上;网站通常检查的“只读”浏览器特征 , 例如“用户代理”和相关的本地数据 , 以便针对特定设备类型发送正确的显示指令;以及其他特征 , 例如网络名称 , 运营商名称和地理位置 。
几乎所有网站都已经使用cookie和其他设备标识符进行个性化或欺诈检测 。 实际上 , 如果用户尝试从异常位置或无法识别的设备登录 , 则通常会激活2FA 。 用于识别设备的选项包括标准HTMLcookie和变体 , 例如flashcookie或cachecookie 。
当用户访问网站时 , 该网站还可以检查用户网络浏览器的特征 , 例如安装的浏览器类型和版本、触摸屏支持、安装的系统字体、安装的语言、屏幕大小、色深、时区 , 以及浏览器插件的详细信息 。 尽管这些数字指纹并非对每种设备独有 , 但用户硬件和软件属性的排列如此之多 , 以致攻击者的设备极不可能共享一个通用指纹 。
特例:新设备
新的安全措施通常会给正常活动带来一些摩擦 。 对于设备感知双因素身份验证而言 , 在大多数情况下其增加的摩擦是最小的 。 用于建立帐户(或首次设置2FA)的设备将自动链接到该帐户 。 如果用户从新设备访问该站点 , 则该站点可以将设备感知的2FA消息发送到旧设备以获得授权 。 如果身份验证成功 , 并且用户指出该新设备确实属于她/他 , 则该新设备将自动注册 , 然后可用于支持将来的设备感知2FA验证 。 用于将新设备添加到用户个人资料的其他选项包括:通过扫描原始设备上显示的QR码来授权新设备;或者 , 如果该设备和原始设备共享浏览器设置(例如同步的GoogleChrome浏览器帐户) , 则允许从新设备进行访问 。
但是 , 如果用户更换手机并且没有注册其他设备会怎样?几乎所有机构都提供了升级方法 , 以重新获得对帐户的访问权限 , 即使用户丢失了用于身份验证的手机号码或电子邮件帐户的访问权限也是如此 。 如果用户更换或遗失了手机 , 则类似的升级过程可与支持设备的2FA配合使用 。 例如 , 用户可能会被要求用户回答基于知识的身份验证问题 , 或者准确地报告已经与该用户相关联的支票帐户所支付的一笔非常小的款项 。
尽管设备感知2FA比传统的基于SMS的2FA更安全 , 但它当然不是万灵药 。 在安全专业人员与网络犯罪分子进行的无休止的“追赶式”猫鼠游戏中 , 几乎每种安全方法最终都会被坚定而足智多谋的攻击者击败 。 而我们所能做的就是继续完善和智能化我们的方法 。
推荐阅读
- 产业气象站|散热效果大大下降,CPU硅脂应该这样涂!涂多了得不偿失
- 【湖南】那些街边不起眼的小小打印店,背后却是鲜为人知的产业帝国
- 集微网|市占35.7%,越打压越坚挺?华为居全球5G设备商第一
- 产业气象站|5G汽车:新能源汽车产业发展新方向
- 产业气象站|「电商运营」作为电商运营需要具备的逻辑思维
- 电子产业观察者|他才是人生大赢家,段永平:OPPO、vivo真正的幕后大老板
- 互联网的一些事|华为稳居第一,全球5G通信设备市场最新排名
- 大宇说科技|斥资188亿,解决了芯片全产业链困局,中国最强芯片巨头诞生
- 自主汽车网|汽车产业生态将被重建,“软件定义的汽车”成为共识
- 科技小数据|产业观察:如何通俗地理解5G及其应用