精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全行業動態 → 正文

電話驗證靠譜? 雙因子認證或助黑客致富

責任編輯:jackye 作者:鄭偉 |來源:企業網D1Net  2016-07-19 09:12:09 本文摘自:中關村在線

在前不久,我們剛剛了解到無孔不入的社會工程學攻擊能夠為雙因子認證(Two-factor authentication,2FA)帶來致命的打擊。現在來自比利時的安全研究員Arne Swinnen又發現,利用一些大公司(如Google、微軟、Instagram)提供的雙因子認證里的電話語音驗證服務漏洞,則能夠從中賺取到高額的利潤。

據悉,大多數部署了2FA的公司,當用戶在其官網上注冊后,都會發送短信認證碼對用戶的真實性驗明正身。當然,用戶也可以選擇接收這些公司的電話呼叫,讓語音機器人告訴你認證碼是什么。

部署2FA的公司都需要警惕

在實驗中,Arne Swinnen發現,在注冊Google、微軟Office 365和Instagram的賬戶時,他可以使用一個普通的電話號碼進行賬號綁定,也可以將其與一個付費電話進行綁定。

電話驗證靠譜? 雙因子認證或助黑客致富

  注冊谷歌賬戶時,雙因子認證界面

而一旦這些公司使用付費電話來發送用戶的身份認證碼時,不法黑客便可以通過偽造Google、微軟、Instagram賬戶,將付費電話與這些賬號綁定。而一些提供付費電話的通訊平臺則會依據接到付費電話的數量,為這些黑客返錢。

電話驗證靠譜? 雙因子認證或助黑客致富

  利用自動執行腳本攻擊

如果利用自動執行腳本,一個攻擊者可以要求上述公司向其偽造的所有賬戶發送電話的2FA認證,而這樣便可以為其贏得了相當客觀的利潤。

電話驗證靠譜? 雙因子認證或助黑客致富

  攻擊可獲得的收益

攻擊會產生巨額利潤

雖然由于各公司在提供2FA認證過程中的服務方法各有不同,讓攻擊時的技術細節也有不同的變化,但Swinnen在其博客中仍然描述了相應的細節。

據Swinnen推斷,如果使用上述攻擊手法,理論上一個攻擊者每年可從Google獲得43.2萬英鎊(約合383.34萬元人民幣),從微軟能獲得66.9萬英鎊(約合593.65萬元人民幣),從Instagram則能獲得206.6萬英鎊(約合1833.29萬元人民幣),其產生的巨額利潤可見一斑。

由此可見,各相關企業在防止暴力注冊攻擊等情況下,僅僅依靠雙因子認證機制還遠遠不夠,需要進一步部署更為細化的安全防護手段,來杜絕可能出現的新威脅。

關鍵字:認證碼黑客谷歌

本文摘自:中關村在線

x 電話驗證靠譜? 雙因子認證或助黑客致富 掃一掃
分享本文到朋友圈
當前位置:安全行業動態 → 正文

電話驗證靠譜? 雙因子認證或助黑客致富

責任編輯:jackye 作者:鄭偉 |來源:企業網D1Net  2016-07-19 09:12:09 本文摘自:中關村在線

在前不久,我們剛剛了解到無孔不入的社會工程學攻擊能夠為雙因子認證(Two-factor authentication,2FA)帶來致命的打擊。現在來自比利時的安全研究員Arne Swinnen又發現,利用一些大公司(如Google、微軟、Instagram)提供的雙因子認證里的電話語音驗證服務漏洞,則能夠從中賺取到高額的利潤。

據悉,大多數部署了2FA的公司,當用戶在其官網上注冊后,都會發送短信認證碼對用戶的真實性驗明正身。當然,用戶也可以選擇接收這些公司的電話呼叫,讓語音機器人告訴你認證碼是什么。

部署2FA的公司都需要警惕

在實驗中,Arne Swinnen發現,在注冊Google、微軟Office 365和Instagram的賬戶時,他可以使用一個普通的電話號碼進行賬號綁定,也可以將其與一個付費電話進行綁定。

電話驗證靠譜? 雙因子認證或助黑客致富

  注冊谷歌賬戶時,雙因子認證界面

而一旦這些公司使用付費電話來發送用戶的身份認證碼時,不法黑客便可以通過偽造Google、微軟、Instagram賬戶,將付費電話與這些賬號綁定。而一些提供付費電話的通訊平臺則會依據接到付費電話的數量,為這些黑客返錢。

電話驗證靠譜? 雙因子認證或助黑客致富

  利用自動執行腳本攻擊

如果利用自動執行腳本,一個攻擊者可以要求上述公司向其偽造的所有賬戶發送電話的2FA認證,而這樣便可以為其贏得了相當客觀的利潤。

電話驗證靠譜? 雙因子認證或助黑客致富

  攻擊可獲得的收益

攻擊會產生巨額利潤

雖然由于各公司在提供2FA認證過程中的服務方法各有不同,讓攻擊時的技術細節也有不同的變化,但Swinnen在其博客中仍然描述了相應的細節。

據Swinnen推斷,如果使用上述攻擊手法,理論上一個攻擊者每年可從Google獲得43.2萬英鎊(約合383.34萬元人民幣),從微軟能獲得66.9萬英鎊(約合593.65萬元人民幣),從Instagram則能獲得206.6萬英鎊(約合1833.29萬元人民幣),其產生的巨額利潤可見一斑。

由此可見,各相關企業在防止暴力注冊攻擊等情況下,僅僅依靠雙因子認證機制還遠遠不夠,需要進一步部署更為細化的安全防護手段,來杜絕可能出現的新威脅。

關鍵字:認證碼黑客谷歌

本文摘自:中關村在線

電子周刊
回到頂部

關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 阜阳市| 汉阴县| 浪卡子县| 新源县| 云和县| 耒阳市| 分宜县| 兰坪| 安阳县| 阿克陶县| 天门市| 靖边县| 石狮市| 壤塘县| 宝坻区| 海安县| 梁山县| 淄博市| 望都县| 黑龙江省| 如东县| 青河县| 定结县| 永仁县| 曲麻莱县| 扶风县| 叙永县| 宜兴市| 葵青区| 鹿邑县| 吉木乃县| 甘孜县| 梓潼县| 曲阳县| 河南省| 萨迦县| 江油市| 会昌县| 玉环县| 依安县| 湾仔区|