关于两因素身份验证(2FA)的疑问

时间:2018-07-15 18:43:52

标签: android authentication google-account two-factor-authentication

出于某些原因,我一直不愿意使用2FA。这是一个用例。

  • 该用户有两个Google帐户(个人和公司)
  • 两个帐户均在Android智能手机上配置
  • 两个帐户均启用了双向身份验证

现在,在正常情况下,每当用户要登录2FA时,都会插入标准密码。

乐趣来了,用户将电话放在桌子上,然后一个有趣的人(或小偷!)接电话。让我们假设电话没有任何PIN,手势或指纹访问控制。小偷接过电话,看到了Google帐户,浏览了这些帐户,并想变坏,并决定劫持这两个帐户。

现在,小偷或有趣的人恰巧猜出其中一个帐户的密码,这很糟糕。但是,嘿!帐户中启用了2FA功能!对吧?

那个窃贼或有趣的人接过电话并且很幸运地猜到了密码,他得到了2FA通知,但是由于他窃取的电话由他控制,所以2FA实际上没有做任何事情,因为入侵者拥有电话,然后在被盗的电话上执行2FA,真正的所有者什么也没得到。

那么,二元身份验证好吗?当然,您必须先获得密码,但是如果入侵者也具有身份验证设备,那么2FA似乎没有提供任何保护的目的。

我希望有人可以向我解释一下,并告诉我我的假设是错误的。

2 个答案:

答案 0 :(得分:0)

两因素身份验证在访问帐户之前有两个障碍。

当小偷无法访问设备时,请考虑一下。他们可能会猜出密码,但不能超过2FA。大多数在线攻击,字典攻击和密码泄露攻击都是这种情况。

考虑替代方案。攻击者拥有设备,但由于密码强度合理,因此他们无法猜测密码。然后他们将无法克服密码因素,并且帐户仍然安全。

与上述两种情况之一相比,攻击者能够访问设备和密码的可能性较小。没有一种安全是完美的安全,但是认证的两个因素肯定比一个要好。

答案 1 :(得分:0)

如今,提供OTP的方法很多。如果您通过短信获取OTP,或者由Google身份验证器生成,并且有小偷或有趣的人接过您的电话,那么他们将可以访问您的OTP。

下一步是猜测密码。通常,如果人们使用2FA,他们会关心安全性,并且不会使用弱密码。如果您担心密码会被猜中,可以使用生成OTP并保护通过PIN访问应用程序的应用程序(例如Protectimus Smart应用程序)。

另一种解决方案是硬件令牌。它是一种独立的设备,因此即使有小偷窃取,他们也不知道您使用该设备保护的帐户。

当然,2FA不仅仅是密码。即使有人强行使用或猜测了您的密码,如果没有一次性密码,他们也将无法访问您的帐户(不包括有人拿走您的手机且没有任何密码的情况)。

免责声明:我为Protectimus工作