最近,有很多关于人们的2FA(双因素身份验证)受到黑客攻击的问题的传闻。他们声称他们在安全方面做了所有正确的事情,但最终还是比你所说的“网络安全危机”更快地被锁定了他们的帐户。
就在前几天,一份报告揭示了为什么即使有2FA严阵以待,Gmail用户的帐户仍会被踢出。事实证明,坏人并没有完全破解2FA代码;而是他们只是想办法偷偷地溜过去,就像初中的舞蹈陪伴一样。
现在,您可能会挠头想知道,“那么,在网络世界中我能做些什么来保证我的Gmail堡垒安全无虞?”让我们来探索一下。
首先,什么是2FA?
2FA代表双因素身份验证,是您在线帐户的额外安全层。谷歌实际上将其称为两步验证,但实际上是同一件事。这就像你的门上有一把双锁。下面是它的工作原理:
您像往常一样输入您的用户名和密码。
然后,您提供第二条信息来证明确实是您在尝试登录。
第二个因素可能是几个不同的因素:
发送代码到您的手机:这是一种常见方法。您将在手机上收到一条短信或通知,其中包含您需要输入才能登录的唯一代码。
来自身份验证应用程序的代码:即使您的手机无法访问互联网,有些应用程序也会为您生成这些代码。
您的指纹或面部:某些网站和应用程序允许您使用指纹或面部扫描作为第二个因素。
即使有人窃取了您的密码,如果没有第二条信息,他们也无法进入您的帐户。这使得黑客更难侵入您的帐户。但正如现实所表明的那样,这种情况仍然有可能发生。
黑客如何破解2FA?
虽然2FA增加了额外的安全层,但它并不是万无一失的。黑客可以利用特定系统中的弱点,而这正是他们所要做的。
如前所述,黑客不会直接攻击2FA系统本身。相反,那些发现自己被锁定在Google帐户之外且密码和2FA详细信息都被更改的人更有可能受到会话cookie劫持攻击。
简而言之,网络骗子使用网络钓鱼电子邮件等狡猾的策略来诱骗用户安装恶意软件。该恶意软件会悄悄地窃取会话cookie,让黑客无需破解2FA代码即可访问帐户。
会话cookie就像用户的快捷方式,帮助他们更快地登录并从上次中断的地方继续。但这里有一个问题:如果坏人在成功登录后获得了这些cookie,他们就可以回放它们并跳过2FA步骤。对于网站来说,用户似乎已经通过身份验证并登录。
以下是一些常见的2FA绕过技术:
社会工程:这是黑客诱骗您向他们提供您的信息或单击恶意链接的地方。例如,他们可能会向您发送一封看似来自您的银行的网络钓鱼电子邮件,要求您登录您的帐户。一旦您点击链接并输入您的凭据,黑客就会窃取您的登录信息,包括发送到您手机的任何2FA代码。
利用2FA系统的弱点:例如,如果通过短信发送2FA代码,黑客可能会尝试通过SIM交换来拦截这些代码,他们会说服您的电话运营商将您的号码转移到他们控制的SIM卡上。
恶意软件:黑客可能会使用窃取您的2FA代码的恶意软件感染您的设备。该恶意软件可能伪装成合法应用程序或来自点击恶意链接。
好吧,现在您可能会想,“谢谢您的提醒,但我如何保证自己的安全?”让我们深入探讨这个问题。