曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        基于短信的動態口令/短信驗證碼(OTP)是否足夠安全?
        發布時間:2020-12-31 09:33:19   閱讀次數:

        基于短信的動態口令(OTP)是否足夠安全?(圖1)

        這并不是一個新問題,但我們似乎不得不繼續聲明一個顯而易見的事實——基于短信的OTP并不能提供足夠好的安全性。正如最近的頭條新聞所證明的那樣,大規模的詐騙導致數百萬人從網上銀行賬戶中被盜,是時候讓企業考慮其他選擇了。這種特殊的攻擊是復雜的:攻擊者知道如何欺騙關于移動電話位置、設備id等欺詐檢測措施。為了做到這一點,攻擊者從用戶的手機中竊取信息,并設置手機模擬器,使銀行認為這是合法的。在一些案例中,攻擊者甚至讓手機看起來像是用戶注冊的新手機。這種攻擊的一個有趣的方面是,它似乎是自動的,從而使攻擊者可以竊取大量的金錢。


        以上聽起來令人印象深刻,但實際上,它比它應該是容易得多。這是因為,雖然這些銀行使用了“應該”防止此類欺詐活動的多因素認證,但使用的多因素方法是基于短信的OTP(一次性密碼通過短信發送給用戶)。不幸的是,眾所周知,基于sms的OTPs安全性很差,實際上攻擊者能夠竊取它們?,F在,我們還不清楚這是如何實現的,但我們知道有很多方法可以繞過基于短信的OTP。其中一種主要的方法是sim -swap,在這種方法中,攻擊者使手機運營商相信用戶已經更換了他們的手機,并將電話號碼重新分配給攻擊者的手機。這不是在這個特定的案例中發生的事情,但是有其他的方法。例如,SMS通信是不加密的,因此可能會被攔截(只是要清楚,我不知道在這種情況下發生了什么,但我只是指出,這在理論上是可能的)。


        基于強密碼秘密的強多因素身份驗證是減輕此類攻擊的更好機制。一種可能是使用用戶持有的專用硬件令牌(如智能卡),但這些有重大的可用性問題。另一種可能性是在用戶的移動設備上使用強加密密鑰,但如果設備被黑,那么密鑰就可能被竊取。因此,只有當手機使用了防止密碼被盜的方法時,即使手機完全被黑客入侵并被攻擊者擁有,手機才應該被使用。幸運的是,這樣的方法確實存在(例如,利用安全多方計算來保護密鑰的未綁定平臺),但首先,銀行和其他企業需要認識到,基于短信的OTP的安全弱點超過了可用性優勢。當強大的解決方案確實存在于用戶的手機上時,尤其如此,所以沒有必要要求外部硬件設備,這確實是個問題。我希望企業和銀行能夠采用更好的技術,在不損害可用性的情況下提供更高的安全性。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精