双因素认证(2FA)能有效增强账户防御能力——即使密码被盗或遭破解,额外验证环节仍可阻挡入侵。我始终建议开启这项重要安全措施,尤其对核心账户(如主邮箱、银行服务等)而言。但需注意,双因素认证并非无懈可击。
事实上,任何安全措施都存在弱点。针对双因素认证,攻击者已开发出多种绕过防护的手段。无论是利用人性弱点还是系统漏洞,其效果都如同踹开加固门锁般致命。
好消息是:了解常见双因素认证的破解方式,既能助您识破黑客伎俩,又能继续充分发挥双因素认证的保护效能。这好比为家门更换强化撞击板与加长螺钉。
▍短信验证码劫持
最基础的双因素认证形式是短信验证码,但这恰是最薄弱环节——文本信息可通过多种方式被截获。
较常见的是SIM卡劫持:黑客通过联系运营商,在用户不知情时将手机号码绑定至新SIM卡(或电子SIM卡),从而全面接管短信接收功能,包括验证码。
另一种SS7协议攻击则直接重定向短信。由于通信协议的工作机制,用户既不会察觉短信发出,也无法阻止他人接收。这种攻击无法直接规避。
防护方案:联系运营商设置专属账户PIN码或密码,要求任何账户变更(包括换卡)都需验证该凭证。但更有效的措施是改用其他验证方式,这同时能解决SS7攻击隐患——短信验证的脆弱性源于电信系统的固有缺陷。
▍验证请求轰炸
通过推送通知请求授权新设备的认证应用本属可靠方案,但攻击者会滥用此机制:向用户设备密集发送验证请求,致使其因疲劳或误操作而批准访问。
防护方案:为账户设置高强度唯一密码,并警惕钓鱼攻击。若攻击者无法获取密码,便无法发动验证轰炸。(若遭遇此类疲劳攻击,请立即修改密码。如需先登录账户操作,可改用备用验证码等替代方式。)
▍钓鱼攻击
无论是短信验证码还是动态口令,一次性验证码均具有通用性。这意味着若您通过电话透露验证码或发送截图,他人配合密码即可入侵账户。
钓鱼攻击能同时窃取密码与验证码:当用户在伪造登录页面输入信息,或接听诈骗电话透露动态口令时,黑客便获得完整凭证。
防护方案:绝不向任何人提供验证码。谨慎访问网站与填写表单,避免安装未经广泛推荐的应用或浏览器扩展——恶意软件可能悄无声息地窃取验证信息。
▍安全密钥绕过
物理安全密钥(如Yubikey)被视为最可靠的双因素认证方式,需要用户现场按压按键完成验证。除非实物被盗,否则难以破解。
但若服务商允许通过已授权设备验证新设备,隐患便会产生:首次登录使用安全密钥后,后续验证可能转为设备认证。此时攻击者可发动前述的验证轰炸攻击。
防护方案:在账户设置中禁用设备认证功能,坚持仅使用安全密钥进行验证。
