短信和两因素身份验证:每个企业都应该知道的

已发表: 2022-10-12
使用笔记本电脑和智能手机的商人。

随着犯罪分子越来越努力地渗透用户的防御,企业必须更加积极地维护其数据完整性。

客户更习惯于像邮寄一样发送电子邮件,可能会对所需的任何额外步骤做出不舒服的反应。 幸运的是,客户的信息越来越好,流程也越来越容易。

目标是让最终用户尽可能轻松地进行两因素识别,同时确保不法分子难以绕过它。

听起来很厉害? 放松! 两因素身份验证 ( 2FA ) 一直在发展以打击那些聪明的骗子。

它是如何工作的?

2FA 为身份验证协议添加了一个额外的层。 它可以有多种形式。 有时它是生物识别的,要求声音、指纹、视网膜扫描或其他一些独特的项目是混合的一部分。

这些需要大量的记录保存和 PII(个人身份信息)存储,这可能会显着增加开销,并在存储受到损害时引起额外的安全问题。

然而,虽然这样的技术是可能的,但在大多数情况下它们并不实用。 相反,银行等机构发行唯一的身份证来(例如)操作自动柜员机(ATM)。 如果没有 PIN(个人识别码),此类卡将毫无用处。

这种安全性依赖于拥有一个特定的项目并将其与特定的知识相结合。 当钱包被盗或放错地方时,银行卡可能会丢失,但如果没有 PIN,银行卡本身就毫无用处。

双因素身份验证增强了传统的“用户名”和“密码”范式。

双重身份验证的好处

两因素身份验证图像

有组织的帮派,甚至是单独的犯罪分子,已经找到了一些策略来欺骗聪明的人做出一些非常糟糕的决定,例如授予陌生人安全访问权限或共享密码。

通过 SMS 进行的 2FA 使犯罪分子的过程非常困难,总的来说,我们大多数人都太无趣而无法引起注意。

消除一个步骤

IoT或物联网对人类来说是一大福音(在某些情况下也是祸根)。 这意味着目前有 50 亿部智能手机在使用,还有无数其他可以接收 SMS 消息的设备。

根据目前的估计,21/20 亿地球人至少携带一部智能手机(除了我们所有的其他设备)。

它几乎一直伴随着我们,触手可及,我们已经变得非常依赖它。

2FA服务不必发布谨慎的识别工具; 他们也不必存储有关个人的不必要信息。

我们仍然可以拥有姓名和密码,但是现在,在识别出自己之后,该服务可以使用 SMS 身份验证向我们发送一条带有临时 PIN 的短信,该临时 PIN 将在一两分钟内到期。

您现在知道一些东西(名称和密码)并拥有一些东西(您的手机),所以您可以继续。 还有什么比这更容易的?

害怕,客户会使用它

一些公司认为客户会反抗并将他们的业务转移到别处。 作为证据,他们经常指出只有 10% 的 Gmail 用户启用了 2FA,或者更具体地说, 90% 的用户没有启用。

虽然使用 2FA 无疑是一个好主意,但您需要了解这里的范式。 人们经常使用安全公司或私人 ISP 电子邮件服务来处理他们的“重要”邮件,并使用 Gmail 来吸收垃圾邮件并与不受信任的网站进行通信。

那些将它用于“一切”的人往往会更加小心。 对于其余部分,不值得付出额外的努力。

客户现在要求 2FA 进行金融交易

另一方面,在转移资金方面,客户往往更加挑剔,并利用额外的安全措施。

如果您不提供 SMS 身份验证服务,它们转移到另一个提供商。 Amazon、LinkedIn、PayPal 和 DropBox 等热门网站需要 2FA 才能进行来自未知设备的金融交易或交换 PII。

为方便起见,您经常会发现“信任此设备”的小复选框,这意味着通过该设备进行的未来交易会自动受到信任。

如果您借用朋友的平板电脑登录您的银行帐户,您将需要获得一次性且有时间限制的验证码,但在您注册的设备上,只需使用您通常的密码和名称即可。

有些网站要求您只认证一次设备; 其他人每月或每年。 高安全性网站在每次登录时都需要 2FA。

双重身份验证的挑战

2FA 不是灵丹妙药,因为专家级黑客可以进行短信拦截和即时呼叫转移——所有这些都是为了将​​生成的代码发送到其他地方。

然而,“不要惊慌!”,正如 Douglas Noel Adams 曾经建议我们的那样。 创造这些利用机会需要大量工作,而且通常仅限于 GSM 服务提供商中不诚实的员工。

当有可观的收益时,骗子愿意付出更多的努力。

那些转移数以万计或数百万的人(或者对于名人来说,他们的所有裸照)需要采取额外的预防措施,但这与大多数人无关。

一些系统本质上很弱,或者由过于急于重置密码的客户服务代表保护。 最好坚持使用名牌服务的信誉良好的公司。

当然,2FA 对于那些觉得每年都必须购买新智能手机的人来说可能是个问题。 他们必须更新所有帐户,识别新设备(添加新设备和删除旧权限),然后才能无缝访问它们。 这就是始终拥有最新技术的成本……

更多 2FA 工具

您可能认为有更好的工具可供使用。 有一些应用程序工具,例如 Google Authenticator(请参阅此处的工作测试示例),可以证明可以防止“短信拦截”,或者,如果您是 Apple 粉丝,也可以推送不使用短信系统的通知。

如果它吸引你,你可以使用类似的东西。 在高安全性环境中,还有更强大的工具,并且在必要时经常使用它们。

例如,您可能听说过一种类似 USB 的密钥卡设备,它可以根据要求生成随机密码。 这对一个组织很有用,但对于与成千上万的公众打交道则要少得多。

外卖

所有这些都是很棒的系统,并且克服了 SMS 驱动的 2FA 的任何可察觉的弱点。 然而,事实是,上述弱点是次要的,不一定是内在的。 责任几乎总是在于个别通信公司对协议的实施。

随着我们努力消除 SS7 等被利用协议(用于在不同电话网络上实现漫游)中的漏洞,这些缺陷将及时成为学术性的。

SMS 是一个很好的选择,因为人们已经非常了解它,它无处不在,而且它使黑客的生活变得复杂。

保护您自己和您的客户,就像我们为 Cloud Data Service 所做的那样,Cloud Data Service 是一家依赖 SMS 2FA 安全性来确保其客户信息保持私密的网络和软件开发机构。

如果您想为您的客户提供可靠、安全的沟通渠道,请通过我们的在线联系表与我们的一位 TextMagic 专家联系或注册免费试用,以便您了解它是如何为自己工作的!