微软(Microsoft)身份安全总监Alex Weinert早已公开警告,密码在实际安全防护上的效益不高,最近又再度呼吁指出标准多因素验证(Multi-Factor Authentication,MFA)的安全性也好不到哪里去!
今年稍早之际,Weinert曾在微软官方博客上以《你的Pa$$word没啥用》为题发出警告,文中他特别阐述了即使使用强式密码也不一定有防护效果的原因。“就字符组合和长度来说,你的密码多半没什么作用,”Weinert指出。即使他知道,在微软和他一齐打拼的团队每天都在防御数以亿计的密码攻击,他还是发出了这样令人气馁的警告。
“请切记,攻击你的黑客只会关心如何密码偷到手……这是假设性安全与实际上安全之间的关键区别,”Weinert表示。换句话说,恶意攻击者会极尽所能地窃取你的密码,而且即使是强式密码也不会对黑客构成什么障碍,因为犯罪分子有充足的时间和各种工具可供使用。
密码会以共享机密的形式同时常驻在容易遭黑设备与服务器上
在博客文章内的表格中,他列出了黑客得以经常成功,而且密码毫无作用的原因。例如:
-
密码喷溅攻击(Password Spray)
- 又名密码猜解
- 风险:通常每天会有成千上万次的暴力破解之举,以及数百万次的恶意探测。
-
网络钓鱼
- 也即会假冒你所信任之信誉良好公司发送的邮件(有时跟真的没什么样)。
- 风险:人们因为好奇、担心或不小心打开都能让钓鱼攻击发挥作用。
根据总部位于加州山景城的EDA暨软件安全商新思科技(Synopsys)指出,当前针对上述安全风险的解决方案,多半依赖生物识别技术,例如指纹、声纹或人脸识别技术,这些技术在其他方面多半与软件安全有关。“这些识别机制只会存储在用户设备上。但密码却以“共享机密”的形式,同时常驻在众所周知很有可能会被黑的设备与服务器上,”Synopsys表示。
Synopsys另外附注:如果你通过字母与符号的混用,将密码设得又长又复杂,不但定期更改密码,而且不会在多个账号使用同一个密码,那么你可能成为远离安全风险的人(因为大多数用户不会这样做),也就是说,你会比绝大多数的人更加安全。
短信MFA是同类MFA中最不安全的认证机制
Weinert认为,基于电话,或称公共交换电话网络(Publicly Switched Telephone Network,PSTN)的MFA验证并不安全(所谓典型的MFA验证是指,某银行经由短信发送给你验证码的机制而言)。
“我相信短信MFA是当前所有可用MFA机制中最不安全的方法,”Weinert在其官方博客贴文中写道。“在SMS短信和语音协议被开发并推出时,它们设计上并没有加密……这意味着任何可以访问交换网络或访问位于无线射频范围内设备的人都可以将短信信号截获下来。”
解决之道就是使用基于App的身份验证机制,例如Microsoft Authenticator或Google Authenticator等身份验证器App。App之所以更安全,是因为它不需依赖你的电信商。验证码直接在App中生成,并且很快过期。
(首图来源:pixabay)