在黑客窃取你的账户之前打开 MFA

数百个流行的网站现在提供某种形式的多因素身份验证(MFA),这可以帮助用户在密码被破解或被盗时保护对帐户的访问。但不利用这些附加保护措施的人可能会发现,当他们的帐户被黑客攻击时,要想重新获得访问权限会困难得多,因为越来越多的窃贼会启用多因素选项,并将帐户绑定到他们控制的设备上。

作为不同组织的职业首席隐私官,Dennis Dayman 试图向他的双胞胎儿子灌输保护他们在线身份不被账户收购的重要性。两人都是微软Xbox平台上的狂热玩家,多年来,他们的父亲通过自己的微软账户管理他们的账户。但当这些男孩18岁时,他们把孩子的账户转成了成人账户,有效地摆脱了父亲的控制。

在最近的一个早晨,Dennis Dayman的一个儿子发现他无法再访问他的Xbox帐户。年轻的Dayman向他父亲承认,他在其他地方重复使用了他的Xbox个人资料密码,而且他没有启用该帐户的多因素身份验证。

当他们两个坐下来重置他的密码时,屏幕上显示了一个通知,说有一个新的Gmail地址绑定到他的Xbox帐户上。当他们去打开他儿子的Xbox档案的多因素认证时,Xbox服务说它会在他的档案中向未经授权的Gmail帐户发送变更通知。

时刻提防黑客,他们是明智的入侵,他试图联系微软Xbox支持,但发现他不能打开一个非微软帐户的支持票。他用另一个儿子的Outlook账户向微软提交了一份关于该事件的传票。

Dennis很快得知,他儿子被黑客入侵的Xbox账户上添加的未经授权的Gmail地址也启用了MFA。这意味着,如果没有Gmail账户控制人的批准,他的儿子将无法重置账户密码。

对Dennis的儿子来说幸运的是,他没有对与他的Xbox档案相关的电子邮件地址重复使用相同的密码。然而,窃贼开始滥用他们在Xbox和第三方网站上购买游戏的权限。

“在此期间,我们开始意识到,他的银行账户正通过从Xbox和Electronic Arts购买游戏而被掏空,”老Dayman回忆道。“我从保险箱里取出了他的Xbox账户的恢复代码,但因为黑客进来并开启了多因素功能,这些代码对我们来说毫无用处。”

微软技术支持部门向 Dayman和他的儿子发送了一份关于他们账户的20个问题的清单,比如账户创建时Xbox控制台上的序列号。但尽管成功回答了所有这些问题,微软拒绝让他们重设密码, Dayman说。

“他们说他们的政策是不把账户交给不能提供第二个因素的人,”他说。

Dayman的案例最终被升级到微软的第3层支持,这能够引导他创建一个新的微软帐户,在其上启用MFA,然后将他儿子的Xbox配置文件迁移到新帐户。

微软告诉KrebsOnSecurity,虽然目前用户在注册时不会被提示启用两步验证,但他们可以选择启用该功能。

“用户还会在账户创建不久后被提示添加额外的安全信息,如果他们还没有这样做的话,这将使客户在登录其账户时能够收到安全警报和安全促销信息。”该公司在一份书面声明中表示,“当我们注意到来自新位置或设备的异常登录尝试时,我们会通过质疑登录并向用户发送通知来帮助保护帐户。如果客户的帐户遭到破坏,我们将采取必要措施帮助他们恢复帐户。”

当然,如果不启用MFA,对于习惯在多个站点重复使用或回收密码的人来说,风险要大得多。但是你委托的任何敏感信息服务都可能被黑客攻击,启用多因素身份验证是防止泄露或窃取你的账户凭证的好办法。

此外,许多支持多因素身份验证的在线网站和服务都是完全自动化的,当发生账户接管时,很难获得帮助。如果攻击者也可以修改或删除与该帐户关联的原始电子邮件地址,这种情况会加倍。

KrebsOnSecurity长期以来一直将读者引向twofactorauth.org网站,该网站详细介绍了热门网站提供的各种MFA选项。目前,twofactorauth.org列出了近900个有某种形式的MFA可用的网站。这些选项包括通过电子邮件、电话、短信或移动应用程序发送的一次性代码等认证选项,以及更强大、更真实的“双因素认证”或2FA选项,如安全密钥或基于推送的2FA,如Duo Security。

从安全角度来看,电子邮件、短信和基于应用的一次性代码被认为不太可靠,因为它们可能会受到各种公认的攻击场景的破坏,从SIM卡交换到基于移动设备的恶意软件。因此,用最强形式的MFA保护您的帐户是有意义的。但是请记住,如果您经常访问的网站提供的唯一附加认证选项是短信或电话,这仍然比仅仅依靠密码来保护您的帐户要好。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!