经验帖 | 密码+验证码就能保护账户?Too young!澳专家建议这些密保组合更安全~

2019年03月08日 新阿德莱德



谈到个人网络安全,你可能会认为自己可以做到足够严密和万无一失。


也许您已经是这么做的:在手机上设置多重身份验证,登录前必须输入一串短信发送的代码,然后才能从新设备登录到您的电子邮件或银行帐户。



图源:ABC News



那么问题来了,您可能没有意识到的是,使用短信、电子邮件或语音呼叫发送安全代码,这些进行身份验证的方法,新的诈骗手段已经使它们的安全性比以前更低。



澳大利亚网络安全中心的Essential Eight Maturity Model列表中,多重身份验证这一方式,被推荐为企业降低网络攻击风险的一级保护措施。


然而上个月,列表更新后显示,通过短信、电子邮件或语音呼叫进行的身份验证方式已被降级,表明它们不再被认为是最佳的账户保护措施


图源:ABC News




什么是多重身份验证?


每当我们登录应用程序或设备时,通常会要求我们进行某种形式的身份查验


这通常是我们所知道的(如密码),但它也可能是我们手持的“钥匙”(如安全密钥或访问卡)或我们的生物特征(如指纹、声纹)。




多重身份验证是指通过不同渠道进行多个身份检查。例如,这些天登陆很频繁,您需要通过短信、电子邮件或语音邮件接收并输入的额外验证码。


许多行业,如银行,已经提供此功能。向您的手机发送“一次性”代码,以确认是否有权限开通交易。


多重验证的方式很好,优势有三:


  • 它使用2个独立的发送和接收渠道

  • 代码是随机生成的,因此无法猜到

  • 代码的有效期较短



图源:ABC News




多重身份验证怎么会出错?


假设一名网络犯罪分子偷走了你的手机,但你已经通过指纹锁定了它。如果罪犯想要破坏您的银行帐户并尝试登录,此时您的银行会向您的手机发送身份验证码。



根据手机设置的配置方式,即使手机屏幕仍处于锁定状态,代码也可能会弹出。然后,犯罪分子可以输入代码并访问您的银行帐户。


请注意,手机上的“请勿打扰”设置无效,因为信息仍会显示,尽管是静音状态。


为避免此问题,您可以将手机功能设置为“禁用信息预览”。



更复杂的黑客攻击涉及“SIM卡复制/交换”


如果犯罪分子有一些您的身份详细信息,他们可能会伪装成您去和电话提供商通话,并请求将您的电话号码的新SIM卡发送给他们。


图源:ABC News



这样,无论何时从您的某个帐户发送身份验证代码,它都会发送给到黑客而不是发给您。




这并不是说多重身份查验已经全无优势,而是说,通过安全性较低的设备或渠道发送身份检查,这一方式可能会增加虚假的安全感,甚至可能比单一的密码更糟糕。



多重身份验证依然非常有必要 —— 只要您通过正确的渠道进行身份验证即可。



此情此景你应该做些什么?


让我们考虑一些具有不同程度的实用性和安全性的多重身份验证组合。




最好的组合方式:虚拟+物理。比如同时使用密码和物理访问卡。网络犯罪分子必须同时持有两者才可以作案,这种情况不是不可能,但罪犯很难做到。




第二种组合是密码和声纹。声纹识别系统会记录您说出的特定密码,然后在您需要验证身份时匹配您的语音。这一点很独特,因为你不可能把声音留在家里或车里等容易被盗的地方。


这种情况下,你的声音也可能被伪装。犯罪分子借助一些电子软件,比如变声器,可以对现有的语音录音进行解压缩,并对其进行重新排序以生成所需的语音。这样操作有些难度,但并非不可能。




第三种组合是物理访问卡片和声纹。此选择无需记住密码,只要您持有物理令牌(卡或密钥)安全,其他人就很难冒充您。



网络安全关乎风险管理,目前还没有完美的解决方案,究竟哪一种身份验证的方式是最安全的,这取决于你使用的服务商提供的密保方案,一切操作都是由小伙伴自己做决定并全权负责。


取材:ABC News

责编:Z





澳大利亚报业集团又添新成员啦!

新悉尼、新墨尔本微信公众号开推!







推荐阅读

阿德莱德生活

咖啡馆 | 下午茶 | 餐馆 |

古董店 | 电费猫腻 | 钓螃蟹

美食 | 甜甜圈 | 日料 | 海鲜市场 

越餐 | Costco 零食 | 钓鱼限定 | 汉堡 1

户外运动 | 摘水果果园 | Sunday Market |

交规罚款 | 报税 | 养老金 | 安全 APP | 汉堡 2

澳洲奶粉 | 幼儿保健品 | 餐馆 2017 | 温泉


南澳大利亚旅行

周边旅行 | 免费租车 | 澳宝镇 | 自驾游

龙虾镇 | 蓝花楹 | 全国旅行 | 最美厕所 | 沙滩


冷静一下,点个“好看” 

收藏 已赞