如果你的手機(jī)上設(shè)置了多因素身份驗(yàn)證，那么你必須輸入一個(gè)短信驗(yàn)證碼，才能在一個(gè)新設(shè)備登錄電子郵件或銀行賬戶。但你可能沒有意識(shí)到的是，新的詐騙手段使得使用短信、電子郵件或語音通話發(fā)送的驗(yàn)證碼的安全性不如以前。

多因素認(rèn)證是澳大利亞網(wǎng)絡(luò)安全中心推薦的安全措施之一，為企業(yè)減少了遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。但上個(gè)月，在一份名單更新后，通過短信、電子郵件或語音通話進(jìn)行的身份驗(yàn)證被降級(jí)，它們不再被認(rèn)為是安全的最佳選擇。

什么是多因素身份驗(yàn)證?

多因素身份驗(yàn)證是指通過不同的方式進(jìn)行身份驗(yàn)證。例如，除了輸入密碼，你還需要輸入額外的身份驗(yàn)證碼，這個(gè)驗(yàn)證碼會(huì)通過短信、電子郵件或語音郵件發(fā)送到你的手機(jī)。銀行已經(jīng)提供了這個(gè)功能，一個(gè)“一次性”的驗(yàn)證碼會(huì)發(fā)送到你的手機(jī)，以確認(rèn)授權(quán)來進(jìn)行交易。

可能很多人會(huì)想，多因素身份驗(yàn)證使用兩個(gè)獨(dú)立的通道，驗(yàn)證碼是隨機(jī)生成的，驗(yàn)證碼的有效期是有限的，那怎么可能出錯(cuò)呢？假設(shè)有人偷了你的手機(jī)，如果罪犯想要登錄你的銀行賬戶，銀行會(huì)向你的手機(jī)發(fā)送一個(gè)身份驗(yàn)證碼。根據(jù)你的手機(jī)設(shè)置，即使手機(jī)仍然是鎖定的，驗(yàn)證碼可能仍會(huì)在手機(jī)屏幕上彈出。罪犯就可以輸入密碼，進(jìn)入你的銀行賬戶。請(qǐng)注意，“防打擾”設(shè)置沒有任何幫助，信息仍然會(huì)出現(xiàn)。為了避免這個(gè)問題，你需要在手機(jī)設(shè)置中完全禁用信息預(yù)覽。

還有一種更復(fù)雜的黑客手段涉及“SIM交易”。如果罪犯有你的一些身份信息，他們可能會(huì)欺騙電話服務(wù)提供商，讓服務(wù)商認(rèn)為他們就是你，并要求服務(wù)商把新SIM卡發(fā)給他們。這樣，這些驗(yàn)證碼就會(huì)發(fā)送到罪犯的手機(jī)上了。幾年前，一名美國科技記者就遇到過這種情況，一名黑客拿到了他的SIM卡，又切斷了他手機(jī)的網(wǎng)絡(luò)服務(wù)，黑客就修改了他的Gmail密碼、Facebook密碼。大約兩分鐘后，他就被鎖在了他的數(shù)字生活之外。

接下來的問題是，你是否希望向正在使用的服務(wù)提供你的電話號(hào)碼。近日，F(xiàn)acebook要求用戶提供自己的電話號(hào)碼以確保賬戶安全，但隨后又允許其他人通過電話號(hào)碼搜索個(gè)人資料，因此而遭到了抨擊。據(jù)報(bào)道，他們還利用目標(biāo)用戶的電話號(hào)碼來投放廣告。

并不是說分割身份檢查是一件壞事，只是說通過不太安全的方式發(fā)送身份驗(yàn)證會(huì)產(chǎn)生一種虛假的安全感，實(shí)際上這種方法的安全性可能比完全不使用這些方法更低。多因素身份驗(yàn)證很重要——只要你通過正確的通道進(jìn)行身份驗(yàn)證。

哪種身份驗(yàn)證組合最好？

第一種是用密碼和物理訪問卡。雖然這種組合被破解不是不可能，但是很難。網(wǎng)絡(luò)罪犯必須同時(shí)獲得這兩種身份才能冒充你。
第二個(gè)組合是密碼和聲紋。聲紋識(shí)別系統(tǒng)會(huì)記錄你說的特定密碼，然后在你需要驗(yàn)證身份時(shí)進(jìn)行聲音匹配。但你的聲音能被偽造嗎?在數(shù)字軟件的幫助下，可能會(huì)把你的聲音錄音、解壓并重新排序，以產(chǎn)生所需的短語。這有點(diǎn)挑戰(zhàn)性，但并非不可能。
第三種組合是卡和聲紋。這個(gè)選擇消除了對(duì)密碼的需要，因?yàn)槊艽a可能被竊取，并且只要您保持物理令牌（卡或密鑰）的安全性，其他人就很難模仿您。

目前還沒有完美的解決方案。使用多因素身份驗(yàn)證的哪種組合取決于你在可用性和安全性之間的取舍。

ice

收藏 海報(bào)分享