双因素身份验证并不像您预期的那样安全

您可能已经听到这个安全建议：使用双因素身份验证来保护您的帐户。 如果你把一个密码与一个通过短信发送的代码或一个像GoogleAuthenticator这样的应用程序生成的代码配对，你会让黑客的生活变得艰难，所以推理是这样的。

问题是：它可以很容易地绕过。 问问Twitter首席执行官杰克·多尔西。 黑客通过SIM交换攻击获得了对多尔西T witter帐户的访问，这种攻击包括欺骗运营商将移动服务转换为新手机。

要了解更广泛的情况，请查看CNET本周关于密码问题的报道，以及一些解决方案，如硬件安全密钥，您可以开始使用今天。

呆在知情的地方。 每个工作日从CNET新闻获得最新的技术故事。

银行、社交网络和其他在线服务正在转向双因素认证，以阻止大量黑客和数据窃。 超过5.55亿个密码已通过数据漏洞暴露。 即使你的密码不在名单上，我们很多人重复使用密码，甚至是所谓的黑客，这意味着你可能比你想象的更容易受到伤害。

别误会我。 双因素认证是有帮助的.. 这是一个被称为多因素认证的更广泛的方法的重要组成部分，它使登录更麻烦，但也使它更安全。 就像名字所暗示的那样，这种技术依赖于结合体现不同品质的多种因素。 例如，密码是你知道的，安全密钥是你拥有的。 指纹或面部扫描只是你的一部分。

但是，基于代码的双因素身份验证并没有像您希望的那样提高安全性。 这是因为代码只是你知道的东西，就像你的密码，即使它的保质期很短。 如果它被偷了，你的保安也是。

黑客可以创建假网站来拦截您的信息，例如使用名为Modlishka的软件，该软件由一位安全研究人员编写，该研究人员希望展示易受攻击的网站有多严重。 它使黑客程序自动化，但没有什么能阻止攻击者编写或使用其他工具。

以下是攻击的原理。 电子邮件或短信引诱你到假网站，黑客可以自动从原件实时复制，以创造令人信服的假货。 在那里，您键入登录详细信息和通过SMS或身份验证应用程序获得的代码。 然后黑客将这些细节输入到真实的网站，以访问您的帐户。

然后是SIM交换攻击，得到了Twitter的多尔西。 黑客冒充你，说服Verizon或AT&；T等运营商的员工将你的电话服务切换到黑客的电话上。 每个手机都有一个离散的芯片，一个用户身份模块，或SIM，可以将它识别到网络上。 通过将您的帐户移动到黑客的SIM卡，黑客可以读取您的消息，包括您通过短信发送的所有身份验证代码。

不要仅仅因为它不完美就放弃双因素认证。 它仍然比一个单独的密码要好得多，并且更能抵抗大规模的黑客攻击。 但绝对要考虑对敏感账户加强保护，比如硬件安全密钥。 Face book、谷歌、Twitter、Dropbox、GitHub、微软和其他公司今天都支持这项技术。