短信验证并不安全！

为了确保帐户安全，双重身份验证已成为网络服务的常规措施。但是，对于大多数用户来说，双重设置需要临时生成验证码或额外的密码才能发送到您的手机，并且这些验证码不是不可破解的。尤其是短信发送的验证码。

最近几个月，已经证实短信通常是双重验证中最薄弱的一环:黑客攻击了伊朗、俄罗斯甚至美国政治活动家的短信。因此，如果可能的话，选择一种更好的认证方法是值得的，比如专门用于认证的智能手机应用软件或者能够生成一次性验证码的物理密码。对于像推特这样只能提供短信作为第二次验证的服务来说，是时候醒来，发现可能的攻击，并为用户提供更好的选择了。

“短信不是进行二次认证的最佳方式，”安全研究员兼法医专家乔纳森·兹扎尔斯基说。“它依赖于您的手机进行身份验证，这种身份验证可能会被违反并失去控制。”

社交软件的问题不是空想。本月早些时候，黑人生活问题活动家德雷·麦克森发现，尽管经过双重验证，他的推特账户还是被黑了。黑客发了一条信息支持唐纳德·特朗普竞选。他说，黑客冒充了他，给威瑞森打了电话，并要求公司将他的短信发送到不同的SIM卡，从而拦截了他的一次性登录密码。俄罗斯活动人士最近还发现，他们的有线电视账户也遭到了攻击，可能是国有电信公司帮助专制*劫持了用户登录的短信和电缆。

事实上，公众人物不是唯一的攻击目标。作为一名密码安全专家，罗莉·克兰诺经历了一次相关的黑客攻击。她注意到这些身份攻击如此普遍，以至于纽约州发布了官方警告。

在您的登录过程中，添加一个以上的基于短信认证的保证肯定比仅基于密码登录的设置更好。但是Zdziarski指出，短消息认证作为第二次认证一点也不安全。双重认证是根据人们知道的一些信息(如密码)和他们拥有的一些物品(如手机或其他设备)来确认他们的身份。

例如，“谷歌认证”和基于RSA加密算法的“令牌”具有更好的安全性。他们可以通过互联网服务提供商提供唯一的一次性密码。经过测试，由于加密技术，这些安全信息不能在两台计算机之间互操作。这样，安全性比短信验证高得多。然而，它的便利性降低了，这可能是它不常见的原因。

Zdziarski说，“短信验证把你的登录方式从‘你知道的信息’改为‘别人发给你的信息’”。“如果交易发生，可能会被拦截。这也意味着您的交易可能存在一定程度的风险。”

一些策略，如应用社会工程或使用暴力手段，可以针对电话公司，从而破坏双重认证中的短消息认证。被称为“国际移动用户身份(IMSI)”和“黄貂鱼断路器”的假手机信号塔也能拦截短信。安全团体最近呼吁注意信令系统7 (SS7)，它允许网络通信相互交换信息。黑客可以使用七号信令改变用户的电话号码，拦截他们的电话或短信。“现在任何网络都可以告诉其他网络‘你的用户’的信息。除非你的手机连接上了，否则手机和信息将被转移到其他网络，”安全实验室的首席科学家卡尔斯特姆·诺尔(Karstem Nohl)说，他最近演示了60分钟的攻击。“如果有攻击者，他们可以得到你所有的消息。这是真的...它非常简单，以至于人们羞于说这是黑客行为。”

然而，这些攻击并不容易准确实施，需要攻击者获得用户的电话号码和密码。这些数字可能被其他黑客组织窃取、猜测或泄露。因为任何人都可能成为老练的黑客的目标，这些基于短信的技术应该避免任何与登录相关信息的泄露。

幸运的是，许多服务提供商提供了更好的选择。谷歌上周推出了“谷歌提示”。这项服务可以直接将第二次认证从服务器发送到用户的安卓手机或国际标准化组织的应用程序“谷歌搜索”。但是，更安全的应用程序不应该要求发送任何信息。“谷歌认证”、“谷歌令牌”和RSA加密算法等应用程序会生成一次性密码，并在几秒钟内更改。这些由服务器生成的提取代码被服务提供商使用，如Slack、WordPress或Gmail，所以他们的用户可以说密码来证明他们的身份，即使他们被泄露到网络上，也没关系。

蝌蚪君编译自《连线》，译者天狼星，转载时必须注明