短信和兩因素身份驗證:每個企業都應該知道的

已發表: 2022-10-12
使用筆記本電腦和智能手機的商人。

隨著犯罪分子越來越努力地滲透用戶的防禦,企業必須更加積極地維護其數據完整性。

客戶更習慣於像郵寄一樣發送電子郵件,可能會對所需的任何額外步驟做出不舒服的反應。 幸運的是,客戶的信息越來越好,流程也越來越容易。

目標是讓最終用戶盡可能輕鬆地進行兩因素識別,同時確保不法分子難以繞過它。

聽起來很厲害? 放鬆! 兩因素身份驗證 ( 2FA ) 一直在發展以打擊那些聰明的騙子。

它是如何工作的?

2FA 為身份驗證協議添加了一個額外的層。 它可以有多種形式。 有時它是生物識別的,要求聲音、指紋、視網膜掃描或其他一些獨特的項目是混合的一部分。

這些需要大量的記錄保存和 PII(個人身份信息)存儲,這可能會顯著增加開銷,並在存儲受到損害時引起額外的安全問題。

然而,雖然這樣的技術是可能的,但在大多數情況下它們並不實用。 相反,銀行等機構發行唯一的身份證來(例如)操作自動櫃員機(ATM)。 如果沒有 PIN(個人識別碼),此類卡將毫無用處。

這種安全性依賴於擁有一個特定的項目並將其與特定的知識相結合。 當錢包被盜或放錯地方時,銀行卡可能會丟失,但如果沒有 PIN,銀行卡本身就毫無用處。

雙因素身份驗證增強了傳統的“用戶名”和“密碼”範式。

雙重身份驗證的好處

兩因素身份驗證圖像

有組織的幫派,甚至是單獨的犯罪分子,已經找到了一些策略來欺騙聰明的人做出一些非常糟糕的決定,例如授予陌生人安全訪問權限或共享密碼。

通過 SMS 進行的 2FA 使犯罪分子的過程非常困難,總的來說,我們大多數人都太無趣而無法引起注意。

消除一個步驟

IoT或物聯網對人類來說是一大福音(在某些情況下也是禍根)。 這意味著目前有 50 億部智能手機在使用,還有無數其他可以接收 SMS 消息的設備。

根據目前的估計,21/20 億地球人至少攜帶一部智能手機(除了我們所有的其他設備)。

它幾乎一直伴隨著我們,觸手可及,我們已經變得非常依賴它。

2FA服務不必發布謹慎的識別工具; 他們也不必存儲有關個人的不必要信息。

我們仍然可以擁有姓名和密碼,但是現在,在識別出自己之後,該服務可以使用 SMS 身份驗證向我們發送一條帶有臨時 PIN 的短信,該臨時 PIN 將在一兩分鐘內到期。

您現在知道一些東西(名稱和密碼)並擁有一些東西(您的手機),所以您可以繼續。 還有什麼比這更容易的?

害怕,客戶會使用它

一些公司認為客戶會反抗並將他們的業務轉移到別處。 作為證據,他們經常指出只有 10% 的 Gmail 用戶啟用了 2FA,或者更具體地說, 90% 的用戶沒有啟用。

雖然使用 2FA 無疑是一個好主意,但您需要了解這裡的範式。 人們經常使用安全公司或私人 ISP 電子郵件服務來處理他們的“重要”郵件,並使用 Gmail 來吸收垃圾郵件並與不受信任的網站進行通信。

那些將它用於“一切”的人往往會更加小心。 對於其餘部分,不值得付出額外的努力。

客戶現在要求 2FA 進行金融交易

另一方面,在轉移資金方面,客戶往往更加挑剔,並利用額外的安全措施。

如果您不提供 SMS 身份驗證服務,它們轉移到另一個提供商。 Amazon、LinkedIn、PayPal 和 DropBox 等熱門網站需要 2FA 才能進行來自未知設備的金融交易或交換 PII。

為方便起見,您經常會發現“信任此設備”的小複選框,這意味著通過該設備進行的未來交易會自動受到信任。

如果您借用朋友的平板電腦登錄您的銀行帳戶,您將需要獲得一次性且有時間限制的驗證碼,但在您註冊的設備上,只需使用您通常的密碼和名稱即可。

有些網站要求您只認證一次設備; 其他人每月或每年。 高安全性網站在每次登錄時都需要 2FA。

雙重身份驗證的挑戰

2FA 不是靈丹妙藥,因為專家級黑客可以進行短信攔截和即時呼叫轉移——所有這些都是為了將生成的代碼發送到其他地方。

然而,“不要驚慌!”,正如 Douglas Noel Adams 曾經建議我們的那樣。 創造這些利用機會需要大量工作,而且通常僅限於 GSM 服務提供商中不誠實的員工。

當有可觀的收益時,騙子願意付出更多的努力。

那些轉移數以萬計或數百萬的人(或者對於名人來說,他們的所有裸照)需要採取額外的預防措施,但這與大多數人無關。

一些系統本質上很弱,或者由過於急於重置密碼的客戶服務代表保護。 最好堅持使用名牌服務的信譽良好的公司。

當然,2FA 對於那些覺得每年都必須購買新智能手機的人來說可能是個問題。 他們必須更新所有帳戶,識別新設備(添加新設備和刪除舊權限),然後才能無縫訪問它們。 這就是始終擁有最新技術的成本……

更多 2FA 工具

您可能認為有更好的工具可供使用。 有一些應用程序工具,例如 Google Authenticator(請參閱此處的工作測試示例),可以證明可以防止“短信攔截”,或者,如果您是 Apple 粉絲,也可以推送不使用短信系統的通知。

如果它吸引你,你可以使用類似的東西。 在高安全性環境中,還有更強大的工具,並且在必要時經常使用它們。

例如,您可能聽說過一種類似 USB 的密鑰卡設備,它可以根據要求生成隨機密碼。 這對一個組織很有用,但對於與成千上萬的公眾打交道則要少得多。

外賣

所有這些都是很棒的系統,並且克服了 SMS 驅動的 2FA 的任何可察覺的弱點。 然而,事實是,上述弱點是次要的,不一定是內在的。 責任幾乎總是在於個別通信公司對協議的實施。

隨著我們努力消除 SS7 等被利用協議(用於在不同電話網絡上實現漫遊)中的漏洞,這些缺陷將及時成為學術性的。

SMS 是一個很好的選擇,因為人們已經非常了解它,它無處不在,而且它使黑客的生活變得複雜。

保護您自己和您的客戶,就像我們為 Cloud Data Service 所做的那樣,Cloud Data Service 是一家依賴 SMS 2FA 安全性來確保其客戶信息保持私密的網絡和軟件開發機構。

如果您想為您的客戶提供可靠、安全的溝通渠道,請通過我們的在線聯繫表與我們的一位 TextMagic 專家聯繫或註冊免費試用,以便您了解它是如何為自己工作的!