机房与天翼|华为|阿里|腾讯等云互通收男人量-123联盟-广告主投放=无限制防火墙买2月送1月无视cc/ddos【无敌超级防御服务器】
【现机】香港韩国CN2江苏三线高防免备案|高硬防|韩国服务器最低600元高单价不扣量日结,广告主钱多人傻福州三线高防服务器,无视CC/DDOS
小飞国外网赚,手把手带你月入万元百独托管7500【国超】云/服务器优惠活动广告联盟选的好,宝马买的早
出售中易广告联盟系统,移动广告平台月入万刀!网络营销课程免费学!【无视DDOS/CC打死退款】提升alexa排名、提升IP流量 7Q5团队
10M香港CN2服务器下单立减400元九九数据-工信部正规资质接入商租服务器就找【45互联】随时退换个人与小团队月入10万+【苏格特训】

[网络资源] 两步验证真的能保护我们的账户吗?很难。 [复制链接]
查看:1434 | 回复:18

1906

主题

3079

帖子

19万

积分

落伍管理

Rank: 12Rank: 12Rank: 12

贡献
2002
鲜花
292
注册时间
2010-1-14

落伍微信绑定落伍者落伍手机绑定

发表于 2017-7-13 09:23:31 | 显示全部楼层 |阅读模式
如何保护你的账户安全?稍微懂一点网络安全的人都会建议你,开启两步验证。两步验证,简单点说,就是在你输入密码后,要求你通过别的方式来获取一串验证码,来确保登陆者是你。

的确,两步验证可以称得上是个人信息安全中最为重要的一环,但也是被人接受最为缓慢的一环。虽然各主流网站都提供了这一选项,但用户往往需要费一番功夫才能找到对应的设置项。因此,正式启用这一功能的用户寥寥无几。

33.jpg


(比如苹果的双重认证就被放在了 Apple ID 选项内)

但是,随着两步验证逐步被大家接受、采用两步验证的站点的增多,传递验证码的介质也变得多样起来:有些网站使用短信,有些使用电子邮件,还有些是利用像是 Google Authenticator 之类的软件,更为极端的用户则是采用硬件狗(可以把它理解为 U 盾)来生成验证码。而随着这些验证手段的增多,就连专注于两步验证评测的网站 TwoFactorAuth 都分不清楚哪种验证方式是相对安全的。

在接受 The Verge 采访时,TwoFactorAuth 的负责人这样说道:

如果评估数百种两步验证服务(的安全系数)对我们来说已经很困难了的话,我无法想象普通用户面对它们的时候会有多困惑。

在两步验证刚推出的时候,每个人都认为这是一种令人感到放心的验证方式。但到了 2014 年,有越来越多的黑客通过各种各样的方式绕过了这一验证:有些是通过仿造 API token(可以理解为配置了一把万能钥匙),有些是通过社会工程学骗取你的账户恢复信息,甚至还有些是通过电信运营商,将受害者的验证短信转接到自己的手机上。而这些黑客攻击往往围绕着比特币这一匿名货币展开的。就在上个月,某企业家就因为 Verizon 客服的失职而损失了价值 8000 美元的比特币。

除了比特币以外,根据 The Intercept 本月的报道,俄罗斯在美国大选期间,已经有办法绕过两步验证,来达到控制选举人账号的目的。而在另一篇报道中,因为 Facebook 的流程设计缺陷,黑客可以轻而易举地关闭已经被打开的两步验证。

34.jpg


(美国国家安全局解密的俄罗斯的账户窃取计划,图源:The Intercept )

深究下去,令两步验证不再安全的原因通常不是两步验证本身,而是那些恢复方案。通常情况下,恢复方案是用于用户在不能够接触到两步验证设备的时候所采取的后备手段,就像是你家大门的备用钥匙一样。

而在这些后备手段中,最难以攻破的薄弱点当属移动运营商。如果你可以通过运营商将发送到指定号码的信息和电话转发到你的设备上,那么你就可以绕过大部分的两步验证。甚至,对有些基于手机号码登录的应用来说,拥有手机号码就相当于拥有了账号的所有权。

35.jpg


(现在已经有多种方式来窃取发送到你手机上的验证码)

尽管美国国家标准技术研究所 (NIST) 已经在呼吁大家停止使用短信验证,但很多科技公司仍然不为所动。毕竟,短信验证是最为方便、简单的两步验证方式。而对不太关心账户安全的人来说,他们并不关注两步验证本身是否安全,他们只在乎自己的账户是否受到了保护。

现在,整个安全行业把目光投向了威胁检测 (Threat Detection) 这一领域。系统通过检测像是机器特征码、用户交互行为这些难以通过外力模仿的信息,来判定该登录是否需要额外的验证。这一系统从实质上来说,要比两步验证更为可靠。

可惜的是,尽管业界可以通过引入威胁检测来增加账户的安全性,但除了开启两步验证外,用户永远无法直观感知到他的账户到底在多少程度上是安全的,也无法通过任何办法来进一步加强对账户的保护。

而如何将威胁检测具象化,让用户得以感知得到,将成为未来账户保护技术发展的关键。

来源:爱范儿
谁是谁生命中的过客,谁是谁生命的转轮,前世的尘,今世的风,无穷无尽的哀伤的精魂。
回复

使用道具 举报

333

主题

8万

帖子

9万

积分

落伍者(五谷丰登)

Rank: 8Rank: 8

贡献
5187
鲜花
98
注册时间
2005-4-22

落伍手机绑定

发表于 2017-7-13 09:27:47 | 显示全部楼层
沙发看看                        
回复 支持 反对

使用道具 举报

114

主题

1589

帖子

1928

积分

落伍者(两全齐美)

Rank: 2

贡献
2946
鲜花
0
注册时间
2015-9-4

落伍者落伍微信绑定

发表于 2017-7-13 09:58:55 | 显示全部楼层
我觉得还是不安全
无锡办公家具www.wxmumu.com
无锡办公家具厂www.wxmumu.com

回复 支持 反对

使用道具 举报

300

主题

6958

帖子

2544

积分

落伍者(两全齐美)

Rank: 2

贡献
1532
鲜花
0
注册时间
2014-3-21

落伍微信绑定落伍者落伍手机绑定

发表于 2017-7-13 10:43:13 | 显示全部楼层
谢谢分享
回复

使用道具 举报

81

主题

8780

帖子

6951

积分

落伍者(三羊开泰)

Rank: 3Rank: 3

贡献
767
鲜花
16
注册时间
2011-4-1

QQ绑定

发表于 2017-7-13 14:47:59 | 显示全部楼层
还真就是有一定难度
回复 支持 反对

使用道具 举报

33

主题

4295

帖子

3888

积分

落伍者(两全齐美)

Rank: 2

贡献
1146
鲜花
1
注册时间
2011-11-2

落伍手机绑定

发表于 2017-7-13 17:08:49 | 显示全部楼层
两步,在安全上确实好点
回复 支持 反对

使用道具 举报

279

主题

1308

帖子

301

积分

落伍者(一心一意)

Rank: 1

贡献
142
鲜花
0
注册时间
2011-2-24

QQ绑定落伍微信绑定落伍者

发表于 2017-7-13 19:32:15 | 显示全部楼层
在安全上又进了一大步~~
560魔域网560my.com
135魔域www.135my.com
回复 支持 反对

使用道具 举报

19

主题

1766

帖子

1906

积分

落伍者(两全齐美)

Rank: 2

贡献
278
鲜花
1
注册时间
2005-8-11

落伍手机绑定

发表于 2017-7-14 00:06:38 | 显示全部楼层
开启两步验证 忘记密码就等着哭吧。没法直接找回。要等很多天
010101010
回复 支持 反对

使用道具 举报

1431

主题

2221

帖子

2335

积分

落伍者(两全齐美)

Rank: 2

贡献
0
鲜花
0
注册时间
2016-9-13

落伍手机绑定落伍者

发表于 2017-7-14 09:21:47 | 显示全部楼层
现在最重要的都不是银行卡,是手机。手机丢了,啥都丢了。一个验证码就能把所有密码都重置
回复 支持 反对

使用道具 举报

62

主题

880

帖子

1202

积分

落伍者(两全齐美)

Rank: 2

贡献
1007
鲜花
0
注册时间
2012-5-25
发表于 2017-7-14 22:46:35 | 显示全部楼层
抢到不一楼了!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 加入落伍

论坛事务客服(8:30-17:00):点击这里给我发消息     商务广告客服(8:30-21:00,限广告合作):点击这里给我发消息
落伍者创建于2001/03/14,本站内容均为会员发表,并不代表落伍立场!
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论!
落伍官方微信:2030286 邮箱:(djfsys@gmail.com|tech@im286.com)
© 2001-2014

浙公网安备 33060302000191号

浙ICP备11034705号 BBS专项电子公告通信管[2010]226号
  落伍法律顾问: ITlaw-庄毅雄

手机版|找回帐号|不能发帖?|Archiver|落伍者

GMT+8, 2017-11-20 05:21 , Processed in 0.082944 second(s), 35 queries , Gzip On.

返回顶部