安全與隱私維護使用者安全,雙重驗證還不夠

維護使用者安全,雙重驗證還不夠

Companies Need More Than Two-Factor Authentication to Keep Users Safe

使用多重方法來確認身分。
大家都知道網路犯罪的基本運作方式,比方說附上惡意連結或附件的網路釣魚(phishing)電子郵件,或是想要接管你的電腦、假冒服務中心的來電。

不過,網路世界的犯罪手法持續變得愈來愈複雜。最新的一套詐騙手法是駭客竊取電話號碼,掏空比特幣(Bitcoin)之類的加密貨幣帳戶。他們是如何辦到的?駭客在我們使用手機向行動服務供應商和線上帳戶驗證身分的方式上,發現了一項弱點。他們利用這項弱點,竊取任何他們能夠到手的東西。而這一切的根源在於「雙重要素驗證」(two-factor authentication,簡稱2FA)。

如果你在推特(Twitter)、臉書(Facebook)或Google上啟用了2FA,你可能已經透過簡訊收到了可使用一次的密碼,用來登錄或變更帳戶。許多線上的加密貨幣錢包和服務,除了你用來登錄帳戶的密碼外,也使用簡訊來作為第二種形式的身分驗證。近來傳出手機遭到駭客控制的案件,被攻擊的就是你的手機號碼(作為一種溝通方式)。

這種做法的最終目標,是把個人的電話號碼,轉移到無法追溯到攻擊者的拋棄式手機(burner phone)或SIM卡。一旦攻擊者能夠收到原本要傳送給他們攻擊目標的簡訊,