Reddit 遭骇了,Two Factor 被破解!

由於長期以來駭客攻擊或資料洩漏的原因,過半是透過釣魚、竊取自其他來源先取得 Credential 後,才攻入目標的網站或主機,因此過去我們都稱 Two Factor Authentication 應該是防禦駭客最便宜的解決方案, 在以信用卡交易安全為標的的 PCI DSS 標準中...
PCI DSS v4.0
Share on social media

今天小编 ”读过”了这则新闻想起, 由于长期以来黑客攻击或数据泄漏的原因,过半是透过钓鱼、窃取自其他来源先取得 Credential 后,才攻入目标的网站或主机,因此过去我们都称 Two Factor Authentication 应该是防御黑客最便宜的解决方案, 在以信用卡交易安全为目标的 PCI DSS 标准中,也要求在远程登录 (Remote Login) CDE 所在的网络,或是 Non-Console 登入主机时均需符合多重身份验证 (multi-factor authentication)的安全要求。

但 Reddit 这个案例,可能是透过社交工程、身分数据盗窃后对电信公司进行 SIM 卡重新申请而破解了原来账号绑定的 Two Factor (SMS) 机制,这个也就需要提醒大家,其实两年前 NIST 就已经建议大家 Two-Factor 安全机制别再用 SMS (Drafted Digital Identity Guidelines, NIST,但后来有提出解释软化了原来的措辞) ,所以无论 SMS , SIM 卡是透过社交工程、数据盗窃向电信申请换卡,或是透过 SS7 可能的问题拦截到,目前均可以透过 APP 或是非 SMS 的双因认证来避开这个风险。

安律 PCI DSS 是金融支付安全产业最佳的顾问咨询及审查服务公司

 

 

来源网址:

https://www.ithome.com.tw/news/124948

https://blog.vasco.com/authentication/sms-authentication/

© 2020 Copyright - 安律信息技术有限公司 Secure Vectors Information Technologies Inc.