手机用户登录应用程序最方便的方法之一,也是许多公司赖以授权访问的方法之一,就是通常通过短信共享的一次性密码。但是,网络安全专家们越来越一致地认为,OTP和传统密码一样,应该被淘汰,尽管专家们认为这在短期内是不可能实现的。
我们呼吁消费者注意不同类型的一次性密码,以及每种密码所带来的相对安全风险和好处。Gartner Research公司副总裁分析师安特-艾伦表示,经验表明,总有一些方法可以破解身份验证,但有些方法被认为比其他方法更强大。Allan说,没有防不胜防的身份验证方法。
Javelin Strategy & Research公司欺诈与安全总监TracyC.Kitten说,通过短信或SMS发送的OTP更容易受到欺诈者通过网络钓鱼攻击、SIM卡掉包和信息拦截等各种手段的攻击,即使你的手机在你手中也是如此。
使问题更加复杂的是,当你的移动账户或网站被盗用时,你可能不会马上意识到。例如,你可以要求银行发送一条短信,然后重新发送,却没有意识到别人收到了短信。基滕说,你可能要花45分钟才能意识到出了问题,到那时就为时已晚了。
安全专家说,一个更好的选择是在移动设备上下载一个验证器应用程序,如谷歌验证器或微软验证器,但这也不是万能的。艾伦说,身份验证器应用程序仍有可能受到某些类型的攻击,如中间人攻击,但它们仍比短信安全。
使用身份验证程序,用户每次登录时都会收到一个唯一的代码,代码一般在30至60秒后失效。不会向电话号码发送任何信息。验证器在你的移动设备上,所以如果手机有密码保护并启用了面部识别功能,就能大大降低别人获取这些代码的风险,Kitten说。
Capgemini Americas副总裁兼网络销售和解决方案主管Cedric Thevenet说,当然,由于需要输入代码,仍然存在潜在的漏洞。举例来说,如果一个人收到一封电子邮件,看似来自与他有日常业务往来的公司或供应商,但实际上,这是一个伪装得很好的网络钓鱼企图。Thevenet说,多亏了人工智能,这类网络钓鱼邮件变得越来越难以察觉。
如果不知情的用户点击链接,可能会进入一个看似合法、实则不合法的网站。用户在黑客的网站上输入用户名和密码,以为这是提供商的网站,然后在被要求输入验证码时也输入验证码。Thevenet解释说,现在,黑客可以访问此人的账户。
还有一种更安全的身份验证方式是与用户手机上的移动应用程序配合使用。当用户登录银行或其他类型供应商的网站时,他们手机上的相应应用程序会收到通知,提示他们通过该通知验证身份。
艾伦说,这种验证方法不受登录设备的影响,比短信或验证器OTP更好,但也有一些攻击可以对付这种方法。黑客可以反复尝试使用窃取的密码登录一个人的账户,用户的手机会收到多条验证信息。如果用户没有仔细留意,或者只是不想再被打扰,他就会点击验证,从而让黑客获得账户访问权。
更好的选择是使用像Yubico这样的硬件安全密钥。一个密钥可用于多个应用程序和服务。艾伦说,从安全的角度来看,它比短信或认证程序更好。但需要投资。一把钥匙的价格大约在20美元到60美元之间,甚至更高,而且人们必须小心不要丢失。
这也并非在任何情况下都实用。Thevenet说,出于成本和实用性的考虑,在线零售商不会给每个顾客都配一把钥匙。
虽然它不一定能替代OTP,但使用多设备密码匙能取代密码,让攻击者更难侵入你的账户。FIDO联盟是一个开放的行业协会,致力于减少全球对密码的依赖,该联盟称,密码匙由存储在用户电脑或手机上的私钥和公钥加密技术组成。
除了消除密码带来的一些烦恼外,密码匙还能保护用户免受网络钓鱼攻击,因为密码匙只能在用户注册的网站和应用程序上使用。艾伦说,密码匙仍然存在一些安全问题,但至少它不再需要密码,因此攻击者更难从一开始就使用密码匙。
Allan说,从监管角度看,密码钥匙可能不符合多因素身份验证的要求,但仍比使用密码和短信更安全。
用户有多种选择来管理他们的在线登录,并更加注重安全性,包括密码管理器,但所有选择都有风险,而且在某种程度上,消费者受到不同供应商提供的验证方法的限制。
Protiviti公司的常务董事达斯蒂-安德森是该公司数字身份业务的负责人,她有一个客户每月花费数万美元通过短信发送OTP。她说,尽管有安全方面的顾虑,但该客户仍在坚持使用,因为它害怕摇晃船,尤其是那些不精通技术的客户,他们可能会对使用其他类型的验证器望而却步。
Thevenet说,由于这个原因和其他原因,在可预见的未来,OTP可能会以某种形式存在。Thevenet说,最常见的选择成本低、使用方便,尽管存在一定的风险,但这些方法仍然比单纯的密码要好。通过短信发送OTP是有史以来最棒的解决方案吗?不。它比单纯的密码更好吗?是的。