两步验证反而更不安全的例子

2014-11-01 08:09:36 +08:00
 robbielj
当然是特例
https://ello.co/gb/post/knOWk-qeTqfSpJ6f8-arCQ

某人的两位instagram账号被黑了,原因是黑客社工了手机运营商,把绑定手机的来电转发设置给改了,然后重置密码让google打这个(绑定的)号码告知重置验证码。

之前有人用语音信箱的漏洞也把两步验证跳过了,手机运营商这方面仍然是两步验证的最大弱点。大部分人不会去注意很多默认的服务设置。而且社工往往还更简单,客服怕得罪顾客。
8150 次点击
所在节点    信息安全
28 条回复
robbielj
2014-11-01 16:04:55 +08:00
@PP 不,我标题的意思并不是在论证2FA更不安全,只是说一个例子,一件事情,而且我也说了,这是特例。

甭管是怎么绕过的,2FA在这里还是增加了可攻击的手段。如果他压根没有设置2FA,那么这情况八成不会发生(他提到都是用随机的长密码)。
pimin
2014-11-01 16:25:14 +08:00
@robbielj
没有输入passwd的话连第二步验证都到不了吧?
robbielj
2014-11-01 16:37:51 +08:00
@pimin 这里用的是重置密码的手段,基本的密码输入被绕过了。
Delbert
2014-11-01 20:59:28 +08:00
@BinbinWang 我今年密码忘记,邮箱用的是自己已经扔掉的一个邮箱,最后发信到dropbox找回了密码,然后又重置了邮箱。
Delbert
2014-11-01 21:03:11 +08:00

@Delbert
@kmvan
benjiam
2014-11-01 23:02:55 +08:00
社工了运营商,有这个前提的话,你社工了银行,银行系统也不安全
Blackmailbox
2014-11-01 23:40:10 +08:00
用身份验证器!打印备用码!
用dropbox一定要把16位紧急验证码写下来!dropbox政策严格,就算你能改密码、验证邮箱,就算你证明了你是这个账号的拥有者,没有这个16位码 就是不让你登陆。血的教训啊!
BlueFly
2014-11-01 23:57:03 +08:00
@egen google authenticator已是各网站淘汰之列,Authy 更受欢迎。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/143116

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX