Authy是最为知名的多因素认证工具之一,因为支持账号系统和云同步功能因此被很多用户使用。以前只有谷歌身份验证器的时候谷歌并不支持同步而是纯离线的,安全是安全就是手机丢失或者数据损坏就会导致所有账户无法登录,Authy解决了这个痛点。
当然现在密码管理器、谷歌、微软、苹果都推出多因素验证功能,所以对Authy来说用户量自然越来越低。
更糟糕的是现在Authy还遭到黑客攻击,甚至还导致知名密码管理器LastPass被黑,所幸LastPass只是被窃取部分源代码不涉及用户数据的安全问题。
Authy员工被钓鱼:
据Authy开发商Twilio发布的公告,Authy开发者手机号不知道从什么地方泄露了,黑客冒充IT部门向这名工程师发布钓鱼短信,内容倒是很常见,经常看邮箱的用户应该经常收到
“警告!你的Twilio时间表已经改变,点击XXX查看变化”“提醒!XXX登录过期,点击这里更新你的密码”
蓝点网每周大概要收到10封左右冒充IT部门说邮箱账户密码过期需要更新的,这还不包括被邮件系统自动拦截掉的,想必各位应该也看到过不少。
Authy开发商看到短信后就点击链接然后进入仿冒的Twilio网站,提交了自己的账号和旧密码,后面基本不用说了。
125名Authy用户受影响:
调查显示在7500万名Authy用户里只有125名用户受影响,Authy是支持多设备同步和同时登陆的,黑客利用用户信息额外添加登陆设备进而获得目标账户的所有多因素验证码。
LastPass也是受影响的客户之一,这也解答了为什么被钓鱼的那名LastPass工程师账户会被黑客登录,因为2FA都被窃取了,相当于失去了最后一道屏障。
目前Twilio仍在调查该安全事件,受影响的用户会收到Authy发送的电子邮件,未收到邮件暂时代表不影响。
为什么说是暂时呢?因为受影响用户还在增加,前期调查显示93名用户受影响,现在是125名,难免后面出现更多受影响的用户。
这里建议大公司还是学习一下谷歌,使用TITAN硬件安全密钥,每次登录需要物理触碰密钥进行确认,想要盗取2FA那难度太大了,除非物理手段盗取硬件安全密钥。
最后对用户来说如果你希望追求更高的安全性建议你还是用硬件安全密钥或谷歌身份验证器,谷歌验证器为何至今都不支持同步那是有原因的,因为只有纯离线才是最安全的。
本文来源 蓝点网,由 本站 整理编辑,其版权均为 原网址 所有,文章内容系作者个人观点,不代表 本站 对观点赞同或支持。如需转载,请注明文章来源。
相关文章
