那不是2FA的工作方式

2021-01-17 22:31:09

在答复中,您会看到很多技术兄弟说:“这就是为什么您应该接通2FA人员的原因!” 除非,而且我不想为技术讨论带来准确性,但这不是2FA的工作原理! 第二个因素使网站可以更好地对您进行身份验证。 它不能帮助您识别站点。 如果您登录到fake-bank.com,则诈骗者将立即获取您的用户名和密码,并将其发送到real-bank.com-然后,伪造的银行将要求您提供2FA令牌。 这可以通过短信,电子邮件,身份验证器应用程序甚至是帖子来实现。 然后,假网站使用您的真实令牌并以您的身份登录。 您可以从真实站点请求的任何信息都可以代理到假站点。 实际上,您唯一可以做的就是寻找“带外”验证。 您信用卡上标记的URL是什么? 蜗牛邮件发出的欢迎信上写着什么? 这些都不是绝对可靠的,并且它们都可以由适当确定的攻击者操纵。

最好的防御方法是使用密码管理器。我推荐开源Bit Warden。

密码管理器存储您的密码。但它也存储网站登录页面的网址。如果您访问githu d,则密码管理器不会提示您使用githu b的登录详细信息。

纵深防御。使用2FA可以防止攻击者伪装成您。并使用密码管理器防止伪造的网站伪装成真实的网站。

不,我不是YubiKeys的忠实粉丝。从理论上讲,硬件令牌可以帮助实现这一目标。您在设备上注册令牌,并且令牌仅将代码吐出到正确的站点。

成本。 YubiKey的平均价格为50英镑。 30英镑左右的价格有一些。鉴于支持它们的网站数量很少,因此这是一笔巨大的费用。

可用性。购买设备,注册,安装应用程序,对其进行配置,在网站上找到设置,启用它,希望您的计算机具有正确的USB端口,请在正确的时间按下按钮。花10分钟观看普通用户尝试进行设置-然后告诉我您是否认为这是一个好的解决方案。

方便。我的YubiKey在我的钥匙圈上。我的钥匙在我的外套里。我的笔记本电脑不在外套附近。考虑到我需要登录的频率,这意味着要养成习惯的重大改变。或者让我的YubiKey始终插上电源。这导致…

风险。 YubiKeys没有自己的密码锁定。 至少我的crmby Android拥有指纹锁,可以防止人们获取我的2FA令牌。 但是,如果您偷了我的笔记本电脑并且插入了YubiKey,那么您就拥有了通往我的王国的钥匙。 支持。 WebAuthn是一个很好的标准–但是只有少数网站支持它。 尽管它可以很好地保护少数几个站点,但是我却很少遇到它,以至于我经常忘记它是如何工作的。 虽然无法代理WebAuthn请求,但没有什么可以阻止假冒网站索要您的令牌,然后拒绝它并要求另外的因素。 如果fake-github.com说“嗯,我们的WebAuthn后端出现问题-请使用身份验证器应用程序中的一次性代码来提高安全性”,您会被上当吗? WebAuthn和硬件令牌可能是未来。 它们可能是我们必须验证网站合法性的最佳方法。 但是,它们目前也是支持不佳的可用性灾难。