Reddit 遭駭了,Two Factor 被破解!

由於長期以來駭客攻擊或資料洩漏的原因,過半是透過釣魚、竊取自其他來源先取得 Credential 後,才攻入目標的網站或主機,因此過去我們都稱 Two Factor Authentication 應該是防禦駭客最便宜的解決方案, 在以信用卡交易安全為標的的 PCI DSS 標準中...
Share on social media

今天小編 ”讀過”了這則新聞想起, 由於長期以來駭客攻擊或資料洩漏的原因,過半是透過釣魚、竊取自其他來源先取得 Credential 後,才攻入目標的網站或主機,因此過去我們都稱 Two Factor Authentication 應該是防禦駭客最便宜的解決方案, 在以信用卡交易安全為標的的 PCI DSS 標準中,也要求在遠端登入 (Remote Login) CDE 所在的網路,或是 Non-Console 登入主機時均需符合多重身份驗證 (multi-factor authentication)的安全要求。

但 Reddit 這個案例,可能是透過社交工程、身分資料盜竊後對電信公司進行 SIM 卡重新申請而破解了原來帳號綁定的 Two Factor (SMS) 機制,這個也就需要提醒大家,其實兩年前 NIST 就已經建議大家 Two-Factor 安全機制別再用 SMS (Drafted Digital Identity Guidelines, NIST,但後來有提出解釋軟化了原來的措辭) ,所以無論 SMS , SIM 卡是透過社交工程、資料盜竊向電信申請換卡,或是透過 SS7 可能的問題攔截到,目前均可以透過 APP 或是非 SMS 的雙因認證來避開這個風險。

安律 PCI DSS 是金融支付安全產業最佳的顧問諮詢及審查服務公司

 

 

來源網址

https://www.ithome.com.tw/news/124948

https://blog.vasco.com/authentication/sms-authentication/

© 2020 Copyright - 安律信息技術有限公司 Secure Vectors Information Technologies Inc.