使用谷歌语音号码进行双重身份验证是一个大错误吗?

信息安全 验证 身体的 设计缺陷
2021-09-04 16:22:56

双重身份验证作为一种安全措施越来越受欢迎。例如,Google、Facebook、Twitter 和许多其他服务如今都具有两步安全选项,许多银行和信用合作社也一样。

我想知道使用谷歌语音电话号码作为所谓的物理设备是否会收到短信代码以确认自己拥有物理设备是一个错误,因为您的 GV 帐户可能会被黑客入侵,然后是您的物理设备有效被盗?

如果您使用双因素 Google 身份验证,在您的智能手机上放置一个应用程序来确认身份,如果您认为 Google 是安全的,那么这是否会使其他人使用 GV 安全?

4个回答

让我们来看看一些可能的 2 因素选项和可能的攻击形式:

  • 非 Google 语音短信
    • 如果有人偷了你的手机并且可以通过任何锁:
      • 任何已经信任您的手机作为他们可以完全访问的设备的服务
      • 他们可以访问您的电子邮件,并且可以劫持允许通过电子邮件重置帐户密码的受信任帐户(尽管 2fa 可能会根据服务为您节省)
      • 他们无法访问从不信任设备的帐户,除非他们知道您的密码
    • 通过社会工程攻击,他们可以尝试 SIM 卡交换,但他们需要您的密码才能访问任何网站
    • 2FA 设备或访问设备上的恶意软件。
  • 谷歌语音短信/电话
    • 如果他们窃取您的设备并通过任何锁定:
      • 与上述相同
    • 如果他们窃取任何其他安装了谷歌语音的设备,绕过任何密码保护(在 Linux、Windows、Mac 上这通常是可能的)并且他们拥有您的密码或者它是具有服务的受信任设备,他们可能会获得对帐户的完全访问权限.
    • 2FA 设备或访问设备上的恶意软件。
    • 如果他们点击网站上的“重置密码链接”:
      • 如果他们对您的电子邮件密码进行了网络钓鱼,并且您的电子邮件中没有 2fa,并且您在同一个帐户上拥有 GV 和电子邮件(或在两个不同的 google 帐户上具有相同的通行证),那么 Alan 完全正确,这本质上不是 2fa。如果您的电子邮件中确实有 2fa,那么它仍然是 2fa。他们可以通过网络钓鱼获取您的谷歌密码,当他们获得密码后,他们可以访问任何网站并选择“忘记密码”,但这无济于事,因为他们没有第二个“您拥有的东西”,即单独的(见下文)2fa 的 GV 帐户。gmail 通行证并不能帮助他们进入网站。但是您不希望 GV 在您的 2fa 所在的同一 gmail 帐户上(见下文),所以通常只要您在每个帐户上使用不同的密码,这将是 2fa。
    • (您可以将自己锁定:请勿使用相同的 GOOGLE 帐户同时使用 GOOGLE VOICE 接收 2FA 和发送 2FA 的帐户)
  • 像 Duo 这样的“推送”身份验证
    • 如果他们偷了设备:
      • 如果他们可以绕过设备的密码,他们可以直接使用 2fa。
    • 如果他们窃取任何其他安装了推送服务的设备
  • 代码生成器:
    • 如果他们偷了设备:
      • 如果他们可以绕过设备的密码,他们就可以直接访问 2fa。
    • 2FA 设备或访问设备上的恶意软件。

总之,GV 是不是一个“大错误”取决于你想承担的风险水平。推送或代码生成可能是最安全的,但它们都有自己的攻击向量。恶意软件不太可能但并非不可能(除了推送之外的所有软件都容易受到攻击)。您的设备被盗并且有动机的攻击者试图劫持您的帐户也不太可能但有可能。但是所有方法都容易受到您的设备被盗的影响。GV 增加了额外的风险,因为现在任何被盗的 GV 设备都容易受到攻击。但 GV 确实增加了额外的便利:你可以推送到多个设备,你不必去拿手机,你可以看到它在你的笔记本电脑上弹出,然后输入它。是否值得额外的风险?(也许一年内你的设备有 2% 的几率被盗(任何方法都是如此,但更糟糕的是 GV,因为您有其他设备可能会被盗),并且攻击者有 5% 的机会有足够的动机劫持您的帐户。所以这是你的绝对风险,值得吗?随你(由你决定。

但是,如果您确实选择 GV,则提示是:

  • 编辑 3/21:现在有几种服务允许您将 2FA 基于时间的身份验证与多个设备同步(Authy 是其中的一个示例)。为了方便起见,考虑将其作为使用谷歌语音的替代方案(如果您通常并且不想这样做,则必须穿过房子来解锁您的帐户)。
  • 确保您不要在与 GV 相同的帐户上使用 2FA 和您的 Google 帐户
  • 确保您的所有设备都使用强密码进行密码/pin 保护
  • 一旦您发现设备被盗,请立即更改所有重要帐户的密码和 2fa 方法
  • 为您的所有电子邮件帐户打开 2fa(但请参阅第一点!)由于历史记录和密码重置功能,您的电子邮件对于黑客来说是一个宝库。

(想出任何其他攻击媒介?任何更正?让我知道,我会将其添加到列表中。)

这样做的主要问题是,当有人在您的计算机上安装恶意软件(例如键盘记录器)时,他们将能够获取您的 Google Voice 密码以及您的普通帐户密码。然后,他们可以通过两因素身份验证。如果您总是从单独的系统访问 Google Voice,但从技术上讲,您仍然是两个因素。

如果您在访问 Google Voice 之前限制了对您的 Google 帐户的访问并实施了多因素身份验证来访问它,那么它会增加未经授权的访问阈值并且使用起来会更安全。但通常用户也不会在他们的物理设备上使用 PIN 或其他任何东西,当然你也不能在物理上丢失它。

如果您的电话号码被盗用,您也可以使用 Google Voice 轻松更改它。

是的,这是一个错误。您使您的帐户更安全,但不是第二个因素。

识别的三个因素:你知道什么,你是什么,你有什么。

在这种情况下,您拥有的东西应该是只有您(理论上)可以访问的物理设备(您的手机)。

虽然 Google Voice 允许 SMS 流量,但它也允许任何拥有计算机、互联网连接和您的凭据的人访问您的 SMS,因此您已经大大减少了这个因素。而不是 2 因素,您实际上有一个因素,一个密码,使用了两次:您的站点密码和您的谷歌语音帐户的密码。这不是 2 因素身份验证。

实际上,这与单击“忘记密码”链接并将重置链接发送到您的 Google 帐户(用于访问 Google 语音的帐户相同)没有什么不同。

其它你可能感兴趣的问题
上一篇将 Windows 笔记本电脑设置为需要智能卡才能解锁 下一篇放弃使用了很长时间的免费网络邮件帐户是否安全?