热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

1435DailyBrief|不同类型双因素认证(2FA)安全性对比

文章转载自 Twitter@evilcos作者:余弦(慢雾创始人)原文链接:https://twitter.com/evilcos/status/1587674436710584321最近 Dropb

文章转载自 Twitter@evilcos

作者:余弦(慢雾创始人)

原文链接:https://twitter.com/evilcos/status/1587674436710584321
最近 Dropbox 和 Github 都遭遇了钓鱼攻击,CircleCI 相关账号密码和 2FA 一起被黑客获取。双因素认证(2FA)在 Web3 领域也值得被关注,相对于现有的 2FA 方式,WebAuthn 标准更具安全性。

双因素认证 (2FA)

双因素认证 (2FA) 或 MFA,是认证的第二层保障,第一层经常都是账号密码这种,加个 2FA,那自然是安全了许多。但是不是所有的 2FA 安全等级都一样的。比如常见的:- 短信 (SMS)- 邮件 - Google Authenticator

通常来说,安全等级排序是:

Google Authenticator > 知名邮箱 > 短信


原因大体有:

1.被直接入侵难度

2.被中间人劫持 2FA 码的难度,邮件与短信的 2FA 码经常都来自第三方下方的,但 Google Authenticator 不是

3.短信还有经典的 SIM Swap 攻击可能性


【钓鱼网站原理】


那么,钓鱼网站是如何既钓到用户名密码,又钓到 2FA,且后续的恶意操作能进行的如此丝滑顺畅呢?答案很简单:反向代理技术,比如钓鱼网站用 Nginx 反向代理了真实网站的各种真实响应给到用户,用户的真实请求通过钓鱼网站的 Nginx 最终也会到真实网站。此时的钓鱼网站实际上就是个中间人。


钓鱼网站使用反向代理技术实际上很多年了,但普通用户对这种架构是很晕的,包括可能还会觉得 HTTPS 不是可以防止中间人劫持吗?有这些困惑的原因也是一言难尽,这里先不展开了...我们进入正题...反正此时你只需明白,在这种钓鱼网站面前,你的这套 2FA 都是形同虚设。

【更安全的 2FA 解决方案】

那么重点来了,有更安全的 2FA 解决方案吗?那自然是有的,比如 W3C 在大力推进的 WebAuthn 标准,这套标准实际上也实施几年了,比如兼容 WebAuthn 的 Yubico 是慢雾为安全服务的客户重点推荐的 2FA 解决方案,这套方案在对抗这类钓鱼是很有效的,因为,WebAuthn 初始化 + 后续认证是直接绑定了目标域名等关键信息的,粗略来说就是初始化时是在真实网站里,那么之后的认证也只有在真实网站里才有效。




· Celsius 因新的庞氏骗局指控将受到更严格的审查      
· CZ:如果马斯克邀请愿意加入推特董事会
· OpenSea 推出 NFT 盗窃预防系统
· Web3 域名联盟宣布成立,创始成员包括 Unstoppable Domains 等
· 加密矿商比特小鹿将 IPO 截止日期延长一年
  
· DeFi 借贷协议 Centrifuge 完成 400 万美元战略融资,Coinbase Ventures 等参投
·
Web3 游戏公司 WeMade 完成约 4657 万美元战略融资,微软等参投


Abelfinance 测试网
Aptos 和 Sui 公链首个跨链借贷平台 -Abelfinance 测试网交互教程
链接:https://mirror.xyz/0x1890.eth/0aesvejM45Ss3gLsXrUEFay5qEiAt-_72o2t2pgHWOA

声明:请读者严格遵守所在地法律法规。以上内容不构成任何投资建议。



容筛选及编辑:小橙子



推荐阅读
  • 采用IKE方式建立IPsec安全隧道
    一、【组网和实验环境】按如上的接口ip先作配置,再作ipsec的相关配置,配置文本见文章最后本文实验采用的交换机是H3C模拟器,下载地址如 ... [详细]
  • 反向投影技术主要用于在大型输入图像中定位特定的小型模板图像。通过直方图对比,它能够识别出最匹配的区域或点,从而确定模板图像在输入图像中的位置。 ... [详细]
  • Coursera ML 机器学习
    2019独角兽企业重金招聘Python工程师标准线性回归算法计算过程CostFunction梯度下降算法多变量回归![选择特征](https:static.oschina.n ... [详细]
  • YB02 防水车载GPS追踪器
    YB02防水车载GPS追踪器由Yuebiz科技有限公司设计生产,适用于车辆防盗、车队管理和实时追踪等多种场合。 ... [详细]
  • 本文探讨了前端包管理器的核心功能,包括注册机制、文件存储、上传下载、以及依赖分析等关键特性,并介绍了几种流行的前端包管理工具。 ... [详细]
  • 本文详细介绍了 org.apache.commons.io.IOCase 类中的 checkCompareTo() 方法,通过多个代码示例展示其在不同场景下的使用方法。 ... [详细]
  • 配置多VLAN环境下的透明SQUID代理
    本文介绍如何在包含多个VLAN的网络环境中配置SQUID作为透明网关。网络拓扑包括Cisco 3750交换机、PANABIT防火墙和SQUID服务器,所有设备均部署在ESXi虚拟化平台上。 ... [详细]
  • Python第三方库安装的多种途径及注意事项
    本文详细介绍了Python第三方库的几种常见安装方法,包括使用pip命令、集成开发环境(如Anaconda)以及手动文件安装,并提供了每种方法的具体操作步骤和适用场景。 ... [详细]
  • DCG 创始人兼首席执行官 Barry Silbert 发布致股东信,详细解答了 19 个核心问题,并分享了公司未来的发展方向。 ... [详细]
  • JavaScript 基础语法指南
    本文详细介绍了 JavaScript 的基础语法,包括变量、数据类型、运算符、语句和函数等内容,旨在为初学者提供全面的入门指导。 ... [详细]
  • Python处理Word文档的高效技巧
    本文详细介绍了如何使用Python处理Word文档,涵盖从基础操作到高级功能的各种技巧。我们将探讨如何生成文档、定义样式、提取表格数据以及处理超链接和图片等内容。 ... [详细]
  • 本文介绍了一个SQL Server自定义函数,用于从字符串中提取仅包含数字和小数点的子串。该函数通过循环删除非数字字符来实现,并附带创建测试表、存储过程以演示其应用。 ... [详细]
  • 利用决策树预测NBA比赛胜负的Python数据挖掘实践
    本文通过使用2013-14赛季NBA赛程与结果数据集以及2013年NBA排名数据,结合《Python数据挖掘入门与实践》一书中的方法,展示如何应用决策树算法进行比赛胜负预测。我们将详细讲解数据预处理、特征工程及模型评估等关键步骤。 ... [详细]
  • 中科院学位论文排版指南
    随着毕业季的到来,许多即将毕业的学生开始撰写学位论文。本文介绍了使用LaTeX排版学位论文的方法,特别是针对中国科学院大学研究生学位论文撰写规范指导意见的最新要求。LaTeX以其精确的控制和美观的排版效果成为许多学者的首选。 ... [详细]
  • 福克斯新闻数据库配置失误导致1300万条敏感记录泄露
    由于数据库配置错误,福克斯新闻暴露了一个58GB的未受保护数据库,其中包含约1300万条网络内容管理记录。任何互联网用户都可以访问这些数据,引发了严重的安全风险。 ... [详细]
author-avatar
accosta谭_738
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有