两步验证反而更不安全的例子

2014-11-01 08:09:36 +08:00
 robbielj
当然是特例
https://ello.co/gb/post/knOWk-qeTqfSpJ6f8-arCQ

某人的两位instagram账号被黑了,原因是黑客社工了手机运营商,把绑定手机的来电转发设置给改了,然后重置密码让google打这个(绑定的)号码告知重置验证码。

之前有人用语音信箱的漏洞也把两步验证跳过了,手机运营商这方面仍然是两步验证的最大弱点。大部分人不会去注意很多默认的服务设置。而且社工往往还更简单,客服怕得罪顾客。
8129 次点击
所在节点    信息安全
28 条回复
BinbinWang
2014-11-01 08:23:41 +08:00
两步验证程序丢失 连dropbox都登陆不上了
robbielj
2014-11-01 08:26:13 +08:00
@BinbinWang 可以用recovery code的,这点几乎所有提供两步验证的服务都一样。把它们存一份。
coldwinds
2014-11-01 08:30:25 +08:00
用email进行2步验证比较适合
DoubleJo
2014-11-01 08:39:35 +08:00
SMS能不用就不用吧,最好是硬件OTP。
dong3580
2014-11-01 08:43:47 +08:00
国内的不开通没有吧
cxd44
2014-11-01 08:53:23 +08:00
最近gd丢失域名那么多,没二步验证的商家还真不敢用了。
SharkIng
2014-11-01 09:01:17 +08:00
唉,这么说来都会有风险的
hjc4869
2014-11-01 09:07:13 +08:00
AFAIK,MS账号修改密码需要两种二步验证信息,必须是邮箱+短信或者邮箱*2之类的。
egen
2014-11-01 10:42:39 +08:00
2步验证用 google authenticator 比较安全
ooxxcc
2014-11-01 10:55:02 +08:00
两步验证不应该是密码+验证器么,直接通过验证器(手机号)修改密码是什么鬼……这也太不靠谱了……
9hills
2014-11-01 10:57:49 +08:00
标准的两步验证需要两个,一个是TOKEN一个是PASSWORD。所以它的安全性最少不会比PASSWORD更差。。。
kmvan
2014-11-01 11:03:07 +08:00
客服MM被攻略了吗?求详情
Aquamarine
2014-11-01 11:54:43 +08:00
所以短信还是身份验证器保险
PP
2014-11-01 12:05:05 +08:00
标题逻辑错误,此例无法论证两步验证更不安全。攻击过程针对的是服务器端,直接或变相绕过了两步验证。
crab
2014-11-01 12:20:59 +08:00
这是手机运营商问题。除了2步验证外,其他和手机有关的,一样会被攻破。
wzxjohn
2014-11-01 12:24:12 +08:00
@crab 同意,大前提错误。就像我说的如果你能接触到手机本身或者像本例这样变相接触到手机本身,那么任何方法都没有安全可说。所以楼主的案例无法得出两步验证更不安全,只能说这种情况两步验证一样挡不住。
sandideas
2014-11-01 12:27:00 +08:00
但是目前来说运营商可信度还是比较高的,而且就算找到漏洞也不会弄你的谷歌或者域名。要弄也网银支付宝之类的吧
a154312237
2014-11-01 13:43:46 +08:00
验证器 或者像apple那样的 通过设备同意 应该还行吧
fanzheng
2014-11-01 14:03:37 +08:00
两步验证app用的authy
momou
2014-11-01 14:29:51 +08:00
看来源,谷歌内部已经知道这事儿,应该很快会有解决办法吧。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/143116

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX