双重身份验证并非你想象中的那层护盾
你启用了双重身份验证(2FA)。这是一个很好的举措。
大多数安全指南都忽略了一点。过去三年中,最重大的账号窃取事件并非通过破解你的验证码实现的。攻击者找到了让你主动交出验证码的方法,或者让这一步骤变得毫无意义。
以下是攻击者绕过 2FA 的三种主要方式:
- MFA 疲劳攻击 (MFA Fatigue) 攻击者使用你被盗的用户名和密码来触发推送通知。他们会在夜间发送数十次请求。大多数人为了让骚扰停止,会随手点击“批准”。这便为攻击者提供了一个有效的会话。Uber 在 2022 年就曾遭遇过这种攻击。
- 解决方案:启用数字匹配 (number matching)。你必须将屏幕上显示的数字输入到你的 App 中。这可以防止盲目批准。
- 中间人攻击 (Adversary-in-the-Middle, AiTM) 攻击者设置一个虚假的登录页面。当你登录时,代理服务器会将你的详细信息发送到真实网站。真实网站会发送 2FA 验证请求,代理服务器再将该请求转发给你。你输入验证码后,代理服务器会窃取你的会话 Cookie。至此,攻击者便掌控了你的账号。
- 解决方案:使用 Passkeys 或硬件安全密钥。这些技术使用与真实网站域名绑定的加密技术,代理服务器无法对其进行欺骗。
- SIM 卡劫持 (SIM Swapping) 攻击者致电你的移动运营商,冒充你的身份并将你的号码转移到他们的 SIM 卡上。现在,所有的短信验证码都会发送到他们手中。
- 解决方案:停止将短信用于任何重要事项。使用 Google Authenticator 或 Authy 等身份验证器 App。这些 App 在你的设备上生成验证码,无法通过 SIM 卡劫持进行拦截。
安全方式对比:
• SMS OTP:仅能防止撞库攻击。 • 身份验证器 App:可防止撞库攻击和 SIM 卡劫持。 • 标准推送:可防止撞库攻击和 SIM 卡劫持。 • 带数字匹配的推送:可防止撞库攻击、推送轰炸和 SIM 卡劫持。 • 硬件密钥 / Passkey:可防御一切。
实现“抗钓鱼”的 MFA 是最终目标。硬件密钥和 Passkey 可以证明你确实处于真实网站。在这种情况下,不存在可以被窃取的验证码。
请采取以下步骤来保护你的账号:
- 本周:从金融账户中移除短信 2FA。切换到身份验证器 App。
- 本月:在你的推送 App 上启用数字匹配。
- 准备就绪后:为你的电子邮件和密码管理器购买一个硬件密钥。
不要用 2019 年的安全手段来应对 2025 年的威胁。
包含真实泄露案例的完整解析:https://lucas8.com/mfa-fatigue-attack-two-factor-bypass