数以百计的流行网站现在提供某种形式的多因素身份验证(MFA),当用户的密码被攻破或被盗时,它可以帮助用户保护对账户的访问。但是,没有利用这些增加的安全措施的人可能会发现,当他们的账户被黑客攻击时,重新获得访问权限的难度要大得多,因为越来越多的窃贼会启用多因素选项,并将账户与他们控制的设备捆绑在一起。这里有一个这样的事件的故事。
作为不同组织的职业首席隐私官,丹尼斯·戴曼(Dennis Dayman)试图向他的双胞胎儿子灌输保护他们的在线身份免受账户接管的重要性。两人都是微软Xbox平台上的狂热游戏玩家,多年来,他们的父亲通过自己的微软账户管理着他们的账户。但当男孩们年满18岁时,他们将孩子的账户转换为成人账户,有效地将自己从父亲的控制下拉了出来。
最近的一个早晨,戴曼的一个儿子发现他再也无法访问他的Xbox账户了。年轻的代曼向他的父亲承认,他在其他地方重复使用了他的Xbox个人资料密码,而且他没有为该账户启用多因素身份验证。
当他们两人坐下来重新设置他的密码时,屏幕上显示了一个通知,说他的Xbox账户绑定了一个新的Gmail地址。当他们为他儿子的Xbox个人资料开启多因素身份验证时--Xbox个人资料与一个非微软的电子邮件地址捆绑在一起--Xbox服务表示,它将向他儿子个人资料中未经授权的Gmail账户发送更改通知。
由于担心提醒黑客他们是明智的入侵,丹尼斯尝试联系微软Xbox支持,但发现他无法从非微软帐户打开支持票证。使用另一个儿子的Outlook账户,他向微软提交了一份关于这起事件的罚单。
丹尼斯很快了解到,添加到他儿子被黑客攻击的Xbox账户的未经授权的Gmail地址也启用了MFA。这意味着,没有控制Gmail账户的人的批准,他的儿子将无法重置账户的密码。
对于戴曼的儿子来说,幸运的是,他没有重复使用与他的Xbox个人资料绑定的电子邮件地址的相同密码。然而,窃贼开始滥用他们在Xbox和第三方网站上购买游戏的权限。
“在此期间,我们开始意识到,他的银行账户是通过从Xbox和[艺电]购买游戏而被提取的,”老代曼回忆道。“我把他Xbox账户的恢复代码从保险箱里拿了出来,但因为黑客进来了,打开了多因子功能,这些代码对我们来说毫无用处。”
微软支持向戴曼和他的儿子发送了一份包含20个问题的清单,要求他们回答有关他们帐户的问题,例如Xbox控制台上最初与帐户创建时绑定的序列号。但戴曼说,尽管成功回答了所有这些问题,但微软拒绝让他们重置密码。
“他们说,他们的政策是不把账户交给不能提供第二个因素的人,”他说。
戴曼的案例最终被升级到微软的第三层支持部门,微软能够带他完成创建一个新的微软账户,在上面启用MFA,然后将他儿子的Xbox个人资料迁移到新账户的过程。
微软告诉KrebsOnSecurity,虽然目前用户在注册时没有得到启用两步验证的提示,但他们总是可以选择启用这一功能。
该公司在一份书面声明中表示:“用户在创建账户后不久也会收到提示,如果他们还没有添加额外的安全信息,这将使客户在登录自己的账户时收到安全警报和安全促销。”“当我们注意到来自新位置或设备的异常登录尝试时,我们通过质询登录并向用户发送通知来帮助保护帐户。如果客户的账户曾经被攻破,我们将采取必要步骤帮助他们恢复账户。“。
当然,对于习惯于跨多个站点重用或回收密码的人来说,在提供MFA时不启用它的风险要大得多。但您委托敏感信息的任何服务都可能被黑客攻击,启用多因素身份验证可以很好地对冲用于掠夺您帐户的凭据泄露或被盗的风险。
更重要的是,许多支持多因素身份验证的在线网站和服务都是完全自动化的,在发生帐户接管时极难联系到他们寻求帮助。如果攻击者还可以修改和/或删除与该帐户关联的原始电子邮件地址,情况就会加倍。
KrebsOnSecurity长期以来一直将读者引导到网站twofactorauth.org,该网站详细介绍了流行网站提供的各种MFA选项。目前,twofactorauth.org列出了近900个提供某种形式的MFA的站点。这些选项从通过电子邮件、电话、短信或移动应用程序发送的一次性代码等身份验证选项,到更强大、真正的“双因素身份验证”或2FA选项(你有一些东西,你也知道一些东西),比如安全密钥或基于推送的2FA选项,比如Duo Security(本网站的广告商,我已经使用了多年的一项服务)。
从安全角度来看,电子邮件、短信和基于应用的一次性代码被认为不那么健壮,因为它们可能会被各种公认的攻击场景破坏,从SIM交换到基于移动的恶意软件。因此,使用可用的最强形式的MFA来保护您的帐户是有意义的。但请记住,如果您经常使用的网站提供的唯一附加身份验证选项是短信和/或电话,这仍然比简单地依靠密码来保护您的帐户要好。