我经常出国旅行,并且只要相关的SIM卡无法连接网络,就无法访问2FA帐户。
您的电话本来就是您最少的手机安全设备。与其他地方相比,我在手机上安装了更多的软件,并下载了更多的文件,而验证源或控制访问权限的能力却大大降低。例如,几乎每个应用程序都要求清扫权限才能正常运行。甚至发现没有被授予显式权限的应用程序都可以通过Google服务对这些权限进行后门操作。
我觉得将手机链接到敏感帐户(例如银行业务)实际上会使它们更容易受到攻击并且更难以维护合法访问权限。
#1 楼
通过移动2FA是否是最好的安全性?不会。SMS2FA是2FA的最弱形式,但是,它仍然值得,因为它确实提高了安全性,并且具有相对较低的进入门槛,尤其是对于非技术用户而言。可以改进什么?您可以通过Google Authenticator等应用程序使用TOTP令牌。它仍然使用您的手机,但是它不依赖于电话号码,因此即使您的电话没有连接,您仍然可以使用OTP。
下一步是使用专用的符合U2F或WebAuthn的硬件令牌,例如RSA令牌或Yubikey。网站支持仅限于某些主要网站,但在可用时是一个很好的选择。 Google帐户还是OAuth提供商,因此您可以将其用于社交网络登录。
评论
我的旧手机上有一个TOTP应用程序,没有SIM卡,也没有其他应用程序,并且与我使用的任何帐户断开了连接。基本上,这是一款非常昂贵的Google Authenticator设备。
– schroeder♦
19-10-23在8:26
@Elhitch,我认为这是目前的常识,并不是一个奇怪的说法。在2016年,它被认为是一种不安全的方法。谷歌搜索“ SMS 2FA”会返回相当多的点击率。
– schroeder♦
19-10-23在8:58
@SoumenMukherjee的评论没有任何意义。这是我正在谈论的设备。对设备的威胁。
– schroeder♦
19-10-23在10:44
基本上可以归结为2FA总比没有2FA好,对吧?
–桅杆
19-10-23在13:26
另一方面,Google Authenticator是.. Google,它可能不是最安全的:-)。考虑Authy。或更妙的是,如果您的手机与YubiKey进行某种形式的通信,请使用它。旅行时最安全,因为您可以在分开使用之前将它们分开放置,换句话说,如果您的手机被盗,它们将不会自动对您的重要帐户进行身份验证。
–乔治M恢复莫妮卡
19-10-23在22:22
#2 楼
SMS 2FA不仅是一个坏主意,比根本没有2FA(仅限密码)更糟糕。这是因为几乎所有提供“ SMS 2FA”的服务实际上都在交付SMS 1FA!也就是说,它们允许通过SMS进行完整的帐户恢复,而无需输入帐户密码。这意味着任何人都可以:说服您的移动运营商转移您的号码
说服您的移动运营商他们就是您,并且他们丢失了SIM卡,需要一张新卡
设置IMSI捕获器
窃取或“借用”您的手机并使其解锁
在具有SMS权限的手机上安装恶意软件
等。
可以完全接管几乎所有已启用SMS“ 2FA”的帐户。过去,这类攻击仅限于具有与数字关联的高价值帐户的目标(在加密货币交易所,政治人物和名人的电子邮件和社交媒体帐户等方面拥有大量平衡的帐户),但如今这种攻击正在扩大到是对所有人的威胁,甚至可能是无目标的随机攻击。
如果您需要2FA,请使用TOTP软件或硬件令牌。您不仅不应该启用SMS 2FA;您甚至不应该将您的手机号码提供给您拥有重要帐户的服务,因为如果有备案,它们将不可避免地将您的号码用作SMS 1FA。
评论
你夸大。在发送验证SMS之前,所有负责任的服务都要求输入密码。但是,不建议将我们的电话号码提供给随机服务,这是不道德的行为,在这里,我同意你的观点。
– Alex Cohn
19-10-23在18:14
如果使用普通登录界面,则可以。如果使用“忘记密码”界面,则不会。甚至像Facebook这样的大公司也搞砸了。
–R .. GitHub停止帮助ICE
19-10-23在18:49
对于银行,比特币,PayPal等而言,这是一个大问题。您实际上需要隐藏世界其他地方使用的数字。万一发生违规,您需要对其进行刻录和更新。让提供商将号码移植到新的SIM卡上仍然很容易,但是却变得越来越困难。
–mckenzm
19-10-23在23:18
@AlexCohn我可以通过SMS为USAA(一家大型银行和保险公司)完全恢复我的帐户。我从未注册过将SMS用作“ 2FA”,并且在我意识到银行将其添加之前,有人使用SMS恢复选项从我的帐户中窃取了钱。大型组织绝对是这样做的。我会同意“负责任的”组织不这样做,但是许多组织的责任要比您想象的要少得多。
–凯特
19-10-25在17:18
就其价值而言,我曾在Facebook上发生过这件事,当时我使用了将近10年没有使用过的电话号码,该电话号码仅用于在互联网连接状况不佳的国家/地区通过短信获取更新,而该号码已分配给其他人。如果我没有立即看到重置通知实时发送到我的实际手机上,那么对自己和他人的隐私造成的灾难性后果将是灾难性的。立即再次重置,并从帐户中删除所有电话号码。之后,FB不断向我发送垃圾邮件,以“添加电话号码以确保安全”。 🤦
–R .. GitHub停止帮助ICE
19-10-25在19:02
#3 楼
这取决于您所比较的内容,必须保护的内容以及可以向用户收费和培训的用户。带有手机的2FA容易发生手机盗窃,手机恶意软件,手机运营商的SIM卡更换(mis-)程序,移动网络漏洞等。
它比用户密码的1FA好得多。因此,这是确保大量事物安全的重要一步。攻击者不仅要窃取密码,还必须以某种方式攻击您的手机。很容易注意到针对电话的攻击(电话丢失或无法工作)或复杂。
我的银行提供了SMS 2FA(以及更好的选择),以限制其网上银行的功能。他们必须。他们的许多客户都不会为使用更复杂的东西而烦恼,如果您强迫他们,他们只会找到另一家银行。
评论
“没有比1FA更好的用户密码”是没有意义的,如果没有资格以哪种方式更好的限制-它会更好地抵抗哪些威胁。
–R .. GitHub停止帮助ICE
19-10-23在12:30
有效点。我会尽力澄清。
–fraxinus
19-10-23在12:34
是的,这全都与威胁模型有关。 SMS的2FA是否可以帮助您针对NSA专门针对您?几乎可以肯定不是。它可以帮助防范一些简单的,针对性强的恶意软件,这些恶意软件会窃取保存在浏览器中的银行密码吗?是的(这对大多数人来说可能更重要)。
–rlms
19-10-23在13:15
只要银行为我们其他人提供其他东西,您就可以让白痴使用SMS 2FA。对于那些不使用SMS :-)的人来说,这种方法实际上效果更好。
–乔治M恢复莫妮卡
19-10-23在22:24
#4 楼
您首先要关注的是非常真实的服务,有些服务不了解,有时某些客户可能无法访问短信-这些服务是错误的。但是,在手机上运行其他软件通过SMS进行2FA并不是最令人担心的问题。
好吧,一些不好的演员会读取一次6位授权令牌。他们无法可靠地向您隐藏此文本消息,因此“假冒在其他设备上访问您的帐户,在合法设备上隐形读取2FA代码,并将其(例如通过Internet)传递给攻击设备”的情况不是很严重
最令人担心的是,破坏这个渠道很容易。政府可能会命令您的移动运营商给他们发短信的后门。犯罪分子可以利用人类工程学来获取您的SIM卡的非法副本,或秘密安装设备以截取仅用于您的眼睛的短信。
评论
当然,他们可以向您隐藏身份验证短信:stackoverflow.com/questions/419184/…
–Ángel
19-10-23在4:52
@Ángel:具有android.permission.WRITE_SMS的应用程序可以删除该消息,但最终用户授予了此权限。此外,即使那样,该消息仍将被广播到所有注册的SMS接收器。如果最终用户选择禁用所有它们,并将所有信任都放在单个恶意应用程序中,那么2FA技术的选择带来的安全问题最少。
– Alex Cohn
19-10-23在7:30
请注意,德国(和瑞士)银行已脱离SMS 2FA,因为使用SMS 2FA对在线银行进行了重大攻击,因此这不仅仅是理论上的担忧。 (但是,攻击包含真实货币的银行帐户比伪造登录到security.stackexchange.com的吸引力更大。)
–马丁·邦纳(Martin Bonner)支持莫妮卡(Monica)
19-10-23在8:43
@AlexCohn,如果没有write_sms,用户将无法授予read_sms。尽管在内部它们是不同的权限(有充分的理由),但用户界面已“简化”,仅请求/授权了通用SMS权限(不过,我希望有一个高级选项来管理各个权限)。
–Ángel
19-10-24在12:44
#5 楼
短信提供2FA-短信提供多重身份验证(2FA)十分繁琐,主要是因为,正如您所说,更换SIM卡几乎使您无法通过身份验证,除非您拥有两部手机或一部双手机。 sim手机,它的安全性也较低,更容易遭受SIM劫持攻击。
2FA通过应用程序-
暴雪和Steam等平台,或Google身份验证器和Authy之类的Authenticator应用程序通过移动应用程序执行2FA,不会考虑您的SIM卡,因此更加安全和方便。
因此,如果您的问题是通过手机进行2FA是否是一个好主意,那么我会说这取决于实现方法。抛开SIM卡,如果您担心安全性,我最好的建议是对安装的内容保持警惕-始终在线检查应用程序的信誉和安全性,因为尽管这样做可能会令人讨厌,但使用2FA到目前为止,这是确保密码安全的最佳方法之一,如果不使用它,安全性将大大降低。
#6 楼
通过SMS进行MFA并不是MFA的最佳形式。从某些方面来说,这是最糟糕的。基本上,请尽量远离该地址。通过其他移动来源(例如通过Google Authenticator等应用生成的TOTP代码)的MFA很棒。我建议尽可能多地使用它们。
评论
该问题可能会得到改进,以阐明它是通过SMS表示2FA(在问题的正文中)还是通过移动电话(在标题中)表示整个2FA的方法,通常比通过SMS的2FA更安全。 />“每个人都知道两个因素胜过一个因素。” [需要同行评审的纵向研究引证]作为反对:您的问题。