Linux中國
在計算無處不在的時代,雙因子認證方式(2FA)可能不再安全!
設備間的應用同步是 2FA 的阿喀琉斯之踵
如他們所解釋,攻擊並不是由於軟體開發缺陷導致,而是由於 2FA 的設計缺陷導致的。現在有個概念叫做「計算無處不在」,讓應用和內容在設備之間可以同步,而如果攻擊者可以訪問受害者的 PC 就會讓 2FA 的保護失效。
由此,各種在線服務中的 2FA 認證機制的設計缺陷會讓攻擊者可以使用諸如 iTunes 或 Google Play 商店來將惡意應用推送到用戶的手機上,而不會觸發 2FA 認證系統,甚至可以在用戶手機的首屏上展示圖標。
當然,攻擊者首先得能將他的惡意應用通過 Google 和 Apple 的審查放到他們的應用商店,不過最近看起來這種情況已經比較常見了。
此外,這也需要攻擊者能夠完全訪問你的 PC,無論是可以直接接觸訪問,還是通過惡意軟體控制你的設備,以及偷竊了你的賬戶。
跨設備的應用同步本身並不是問題,問題是實現方式不對
無論如何,風險依然是存在的。研究人員稱,使用 2FA 的服務應該要非常注意在不同設備間的應用同步的實現方式。
在問及如何在 2FA 服務中修復這個問題,特別是對於使用這種服務的 Google 而言,研究人員說,最好的辦法是「將應用安裝過程(即提示用戶該應用的所需許可權的地方)放到手機上去,而不是將它們放到瀏覽器中」。
更多的細節,可以看看下述視頻:
以及可以參考兩位研究人員的論文:「計算無處不在如何幹掉了你的基於手機的雙因子認證」。
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive
對這篇文章感覺如何?
太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
More in:Linux中國
如何通過 VLC 使用字幕
使用 VLC 媒體播放器播放和管理字幕的新手指南。
Unix 桌面:在 Linux 問世之前
僅僅開源還不足以實現開放,還需開放標準和建立共識。
Valve 對於 Ubuntu 的 Snap 版本的 Steam 並不滿意:原因何在
你可能會發現,Snap 版本的 Steam 並不如你期待的那樣好,你怎麼看?
Wine 9.0 發布,實驗性地加入了 Wayland 驅動
Wine 的這個新版本正在為未來做好準備!