对于某些经验不足的用户而言,他们很有可能会成为网络钓鱼攻击的受害者,但即使是那些认为自己具有足够强大技术的人偶尔也可能会成牺牲品。
根据Krebs on Security最近发布的一份关于安全性的报告,在去年遭受网络钓鱼攻击的76%的企业中,谷歌并不是其中的一员。事实上,由于更换到了硬件2FA安全密钥,自2017年以来,该公司的员工工作帐户中没有一个是网络钓鱼攻击的受害者。
对于不熟悉的人来说,2FA不仅仅是基于软件的身份验证器/ SMS风格。您可以轻松地将“您拥有的信息”作为一个单独的硬件设备。这也意味着社交工程黑客(他们可以拦截许多公司所使用的(不安全的)基于SMS的2FA系统)对使用了这个硬件密钥的人不会产生任何影响。
Google的一位发言人告知Krebson Security,根据2018年第二季度的财务报告,关于谷歌员工(总数为89,000 +,而不是最初声称的85,000+)的所有帐户访问都需要一个基于硬件的安全密钥。
该发言人进一步表示,自2017年以来,“自从在谷歌实施安全密钥以来,没有相关报告或确认我们的帐户出现被控制的情况。”该公司所使用的硬件密钥使用的是公开的U2F认证标准,,这个是由Google和Yubico以及NXP一起开发的。
在撰写本文时,并非所有公司或服务都与硬件安全密钥的U2F标准兼容,尽管Chrome自版本38以来便可以支持这一标准,以允许Google帐户持有者在登录过程中将其用于2FA。而且并非所有浏览器都与这一标准兼容,只有Firefox和Opera支持U2F-noEdge或Safari(尚未)。
其他服务,如Dropbox,Facebook,GitHub,Twitter,Salesforce还有其他几个密码管理器都可以与U2F很好的兼容,但Krebs on Security指出,Web Authentication API标准(如果由更多服务实施)也会使它们兼容。
让我们来期盼越来越多的公司会转向这些新标准并开始引入U2F支持,他们也可以放弃那荒谬的基于SMS的2FA密钥及其安全性。而我们只需要指出谷歌去年完全躲避了所有基于网络钓鱼的攻击,就可以证明这个硬件密钥的安全性还是非常值得信赖的。
来源:Krebs on Security
