1435DailyBrief|不同类型双因素认证（2FA）安全性对比

文章转载自 Twitter@evilcos

作者：余弦（慢雾创始人）

原文链接：https://twitter.com/evilcos/status/1587674436710584321

通常来说，安全等级排序是：

Google Authenticator > 知名邮箱 > 短信

原因大体有：

1.被直接入侵难度

2.被中间人劫持 2FA 码的难度，邮件与短信的 2FA 码经常都来自第三方下方的，但 Google Authenticator 不是

3.短信还有经典的 SIM Swap 攻击可能性

【钓鱼网站原理】

那么，钓鱼网站是如何既钓到用户名密码，又钓到 2FA，且后续的恶意操作能进行的如此丝滑顺畅呢？答案很简单：反向代理技术，比如钓鱼网站用 Nginx 反向代理了真实网站的各种真实响应给到用户，用户的真实请求通过钓鱼网站的 Nginx 最终也会到真实网站。此时的钓鱼网站实际上就是个中间人。

那么重点来了，有更安全的 2FA 解决方案吗？那自然是有的，比如 W3C 在大力推进的 WebAuthn 标准，这套标准实际上也实施几年了，比如兼容 WebAuthn 的 Yubico 是慢雾为安全服务的客户重点推荐的 2FA 解决方案，这套方案在对抗这类钓鱼是很有效的，因为，WebAuthn 初始化 + 后续认证是直接绑定了目标域名等关键信息的，粗略来说就是初始化时是在真实网站里，那么之后的认证也只有在真实网站里才有效。