为什么越来越多的人不使用简单的双因素身份验证

提供双因素身份验证的安全密钥是确保帐户安全的重要工具。但大多数人并没有使用它们。

即使最简单的网络安全建议对于普通人来说也是很有挑战性的。

并非每个人都希望支付或设置虚拟专用网络或使用密码管理器。但是,您可以使用一种简单、廉价的技术,称为“双因素身份验证”,可在黑客窃取密码时保护您的帐户。

很有可能,你已经在用一种方式了。当你用借记卡支付一个项目,并被要求在刷卡后输入一个PIN代码时,这是双重身份验证。它最终只是使用两种方式来证明你的身份,最常见的是一个密码和一个发送到你手机的代码。

双因素认证是防止黑客劫持您的帐户的最简单方法之一。当奇波特尔(Chipotle)这样的零售连锁店、雅虎(Yahoo)这样的网站或像Equifax这样的信用检查机构以惊人的高频率出现时,你应该开始养成一种习惯。

然而,印第安纳大学的研究人员在周四的黑帽安全会议上说,这离被广泛采用还有很长的路要走。印第安纳大学教授L·琼·坎普和印第安纳大学布鲁明顿分校的博士生桑查里·达斯对500人进行了一项研究,目的是找出为什么这种简单的安全措施不受欢迎,尽管它有好处也很容易。

在他们的研究中,他们故意在校园里寻找懂科技的学生,以确保结果不会受到那些不了解什么是双因素认证的人的影响。他们希望参与者比普通人拥有更多的安全和计算机专业知识。

他们发现,虽然这些学生理解技术,但他们不明白为什么他们需要采取这种网络安全预防措施。

坎普说:“这是一种巨大的信心。”“我们有很多,‘我的密码很好,我的密码足够长’。”

使用双因素身份验证的许多人依赖于它的SMS版本,其中PIN码被发送到他们的电话。但这并不像使用物理安全密钥进行双因素身份验证一样安全,因为文本消息仍然可以被拦截,就像8月1日的Reddit所发生的那样。

"我们知道,基于SMS的认证并不像我们希望的那样安全,并且主要的攻击是通过SMS拦截,",Reddit的首席技术官ChristopherChristopherSlowe在一篇文章中说。

坎普说,这项研究中的许多学生不觉得自己会被黑客攻击,也不认为有必要进行双因素认证--这是大多数美国人口可能会认同的观点。

在去年11月发布的一项调查中,DUOSecurity发现,不到三分之一的美国人正在使用双因素认证,而超过一半的美国人甚至从未听说过。

今年1月,谷歌的一名软件工程师透露,不到10%的Gmail账户使用了双因素认证。

谷歌的泰坦安全键插入了一台电脑的USB插槽。

坎普和达斯建议,让更多人使用双因素认证的最佳方法是更好地沟通风险。就像香烟旁边的“吸烟杀手”标志一样,网站和应用程序应该让用户知道,一个强大的密码可能是不够的。

无论您的密码是多么的长--大多数登录信息都在数据库漏洞中被盗,在这种情况下,黑客只能复制和粘贴密码。这就是为什么双因素认证是一种有用的第二道防线。

这两位研究人员将这一建议发送给了google和yubico,后者是一家提供双因素认证的安全公司,提供的物理密钥可以插入usb端口。Gmail、Facebook和Twitter是众多允许Yubikey作为另一种身份识别形式的网站之一。

到目前为止,还不够。

坎普说:“可用性还有一个额外的步骤,那就是动机。”“你可以享受驾驶汽车的乐趣,但你不会喜欢系上安全带。你必须与人沟通,‘如果我拿着这个麻烦,那是为了我的利益。’”

对Google和Yubicio的人来说,缺乏兴趣是一个真正的挑战。他们想确保他们的用户是安全的,但是很少有人使用他们的安全措施。

谷歌在7月25日推出了自己的安全密钥,但该公司明白,人们并不是为了获得双因素认证而排队。它知道Google上的大多数人没有使用这个密钥,但它希望能改变这一点。

谷歌信息安全产品管理总监SamSrinivas预计,事情将很快转变。

斯里尼瓦斯说:“现在还处于起步阶段。”“关于网络钓鱼的真正风险还没有传达出去,但我认为我们已经到了临界点。”

他说,随着更多高调的网络钓鱼攻击继续成为头条新闻,比如黑客通过网络钓鱼邮件从弗吉尼亚一家银行窃取240万美元,更多的人会意识到其中的风险。

尤比科的首席执行官兼创始人斯蒂娜·埃伦斯瓦尔(StinaEhrensvard)在“黑帽子”(Black Hat)上表示,挑战在于摆脱一种虚假的安全感。

她说,当一个人拥有安全钥匙时,账户收购不会发生,但人们不会觉得自己有风险,直到为时已晚。

"大多数人使用双因素认证而被攻击,".埃伦斯卡尔说."那些没有想到的人,“哦,不会发生在我身上的。”"

但是,直到每个人都被黑客入侵以采用安全密钥之前,公司才不会等待。ehrendsard表示,Yubicio已经做出了一些努力来传播关于安全密钥的字,比如设置研讨会和提高认识方案。

她说,该公司在过去几年里一直与政治运动、新闻机构、金融机构和政府机构合作。收养率可能很慢,但是Ehrensvard并不担心。

"在那里没有其它的认证技术,其具有投资回报的好处,"说."但是有一个感知问题。"

安全:在最新的违规、Hacks、修复和所有网络安全问题上保持最新的最新状态,这些问题会让您在夜间保持最新状态。


栏目推荐