老古很多年前曾介绍过 Authy,这款验证工具支持账户功能,可以将已经绑定的 2FA 信息同步到云端备份。在没有微软身份验证器(Microsoft Authenticator)的时候,Authy 是谷歌验证器(Google Authenticator)的绝佳替代品,因为谷歌验证器既不支持备份 (以前是这样、去年还是前年增加了转移功能) 也不支持同步,一旦误删验证器或手机丢失,那就得重置所有账号,挨个去找客服人工重置 2FA。
Authy安全吗?为什么说使用Authy/微软身份验证器等联网的2FA应用不是一定安全?
后来微软身份验证器发布并且支持微软账号同步 2FA 信息,之后使用微软身份验证器的用户越来越多,使用谷歌验证器和 Authy 的用户逐渐减少。
那为什么谷歌不支持同步?
那么问题来了,为什么谷歌验证器拥有数以亿计的用户,这么多年为何不支持账户同步功能呢?原因很简单:安全考虑。因为一旦数据同步到网上就有可能泄露,所以谷歌至今不愿意提供联网同步功能,而 Authy 填补了谷歌的这个缺陷,代价就是弱化了安全性。
同理微软身份验证器也支持联网同步功能,其性质与 Authy 类似,其他支持同步的还有 1Password 等密码管理器的 2FA 功能,也是基于云端同步的,不需要在不同的设备上挨个设置,确实非常方便。
Authy安全吗?为什么说使用Authy/微软身份验证器等联网的2FA应用不是一定安全?
Authy 安全缺陷引起的连锁反应:
Authy 是一款非常好的验证程序,可惜联网备份就是最大的弱点,更糟糕的是 Authy 主要以手机号为账号,可以很轻松使用验证码找回账户,这就留了一个可怕的后门。
知名密码管理器 Lastpass 最近深陷数据泄露漩涡,不少用户已经放弃 Lastpass 迁移到别的平台。
那 Lastpass 怎么被黑的呢?
原因是 Lastpass 工程师使用 Authy 作为 2FA 验证工具。黑客在入侵 Lastpass 之前,对 Authy 的工程师进行了钓鱼,成功进入 Authy 的系统。进入系统后黑客篡改了 125 名用户的数据 --- Authy 拥有 7500 万名用户,只篡改 125 名用户数据说明黑客是有备而来的。
Lastpass 那个倒霉的工程师就是 1/125,黑客篡改数据为其账户添加了一个额外的受信任设备,然后黑客就在自己的设备上获取了 Lastpass 工程师的所有 2FA 验证码,后面的事情大家都知道了。
还有针对 Authy 的换卡攻击盗取加密货币:
近期针对 Authy 用户的另一个攻击是换卡攻击,一名技术专家的 Coinbase 账户使用 Authy 设置的 2FA 验证码,Authy 则使用 Google Fi 提供的手机号码注册的账户。黑客提前收集这名技术专家的个人资料包括手机号,然后利用某种方式劫持了他的 Google Fi 账号,将手机号码从一张 SIM 传输到另一张 SIM --- 典型的换卡攻击。
在国内由于中国移动此前提供的空中写卡功能也引发了多起换卡攻击,黑客在清晨动手,用户从睡梦中醒来发现自己手机没信号,然后各种账户的余额都没了。这名技术专家遇到的情况与国内用户遭遇的其实基本类似,手机号被劫持后,黑客登录这名技术专家的 Authy 添加了受信设备,然后获得了所有 2FA。
这其中就包括 Coinbase 的 2FA,接下来事情就很简单了,黑客不仅劫持了用户的 Outlook 邮箱,还利用 2FA 洗劫了 Coinbase 中的各种加密货币余额,这名技术专家损失惨重。后来谷歌私下向用户透露,遭遇的换卡攻击似乎与 T-Mobile 漏洞有关,Google Fi 属于虚拟运营商,通过 T-Mobile 和 US Cellular 为用户提供服务。
Authy安全吗?为什么说使用Authy/微软身份验证器等联网的2FA应用不是一定安全?
建立在短信验证码上的安全措施形同虚设:
最近马斯克删除推特免费用户的短信验证功能,用户必须使用 2FA 验证程序,马斯克一方面说是每年节省 6000 万美元,另一方面也强调短信验证码完全不靠谱。
古风网在 2017 年上线,到今年 7 月就 7 周年了,在过去 7 年里我们也多次提到短信验证码不靠谱,奈何现在的情况是大多数服务都靠短信验证码。Authy 恰恰将最关键的验证放在短信验证码之上,这导致配置的所有 2FA 都变成缺陷,甚至还可能间接帮助了黑客。(PS:Authy 也是有主密码的,但目前还不清楚黑客是如何绕过主密码的)
微软身份验证器其实也是同样的道理,微软身份验证器使用微软账户同步,如果用户绑定了手机号码,也可以通过短信验证的方式重置微软账号密码,只不过风控方面微软做的要比 Authy 好些,另外也可能是 Authy 用户量远高于微软验证器,微软验证器的用户量比较少,所以暂时还没听说微软验证器导致的安全问题。
更新一部分:
根据网友说明微软身份验证器 iOS 版是基于 iCloud 同步的,因此无法直接使用账户恢复数据,但 Android 版是云同步的保存在微软,是可以恢复的,所以还是存在安全弱点。
密码管理器的 2FA 靠谱么?
目前来看大多数还是靠谱的,诸如 1Password 本身内置 2FA 功能,如果用户在陌生设备登录,只有账号免密是不够的,还需要输入非常长的身份代码,这个代码是创建账户时生成的,不依赖于短信和邮件,除非用户自己泄露,否则黑客永远也拿不到。
其他密码管理器例如 Bitwarden、KeePass 也基本类似,在登录方面都有非常严格的机制,基本不存在通过短信和邮件快速找回密码就登录的情况,至少还有一层离线的主密码需要验证。所以总体来说老古认为密码管理器的 2FA 还是靠谱的,支持云同步的同时也可以保证安全性,这比谷歌验证器更方便。
在未来谷歌验证器想必仍然会保持离线不会支持同步功能,希望各位也能理解谷歌死磕离线的原因,安全和方便永远是相对的。
注:本文没有收密码管理器的赞助,但如果可以的话,老古建议你使用密码管理器 (Lastpass 除外) 而不是使用浏览器自带的密码管理器或使用人肉方式记忆各个账号的密码。另外建议凡是支持 2FA 的网站都设置两步验证,这可以大幅度提高账号的安全性。
