近幾個月來,有消息證實,短信往往是雙重核查中最薄弱的環節:黑客攻擊了伊朗、俄羅斯甚至美國政治活動人士的短信。因此,如果可能的話,值得選擇壹種更好的認證方法,比如智能手機應用軟件進行認證,或者可以生成壹次性認證碼的物理密碼。對於只能提供短信作為第二身份驗證服務的twitter來說,是時候醒悟了,發現可能的攻擊,並為用戶提供更好的選擇。安全研究員兼法醫專家喬納森·茲齊亞爾斯基(Jonathan zdziarski)說:“發短信並不是最好的復查方式。”它依賴妳的手機進行驗證,這可能會被侵犯,失去控制。”
社交軟件有問題不是空想。本月初,黑人生命事件活動家德裏麥克森(derey McKesson)發現,盡管經過了雙重驗證,他的twitter賬戶還是遭到黑客攻擊,黑客發出了支持唐納德特朗普(Donald Trump)大選的信息。他說,黑客偽裝成他,打電話給Verizon,要求該公司將他的短信發送到另壹張SIM卡上,攔截他的壹次性登錄密碼。俄羅斯活動人士最近還發現,他們的有線電視賬戶也遭到攻擊,可能是國有電信公司幫助獨裁政權劫持用戶登錄的短信。
事實上,目標不僅僅是公眾人物。作為壹名密碼安全專家,Lorie cranor曾遭遇過相關的黑客攻擊。她註意到,這些身份攻擊已經變得非常普遍,以至於紐約州發布了官方警告。
在登錄的過程中,增加更多基於短信認證的安全性,這勢必比只基於密碼登錄的設置要好。但zdziarski指出,短信驗證作為第二次驗證,根本不安全。雙重身份驗證是根據人們知道的信息(如密碼)和他們擁有的物品(如手機或其他設備)來識別他們。
基於RSA加密算法的“Google認證”和“令牌”具有較好的安全性,它們可以通過網絡服務提供商提供唯壹的壹次性密碼經過測試,由於加密技術的原因,這些安全信息不能在兩臺計算機之間使用。所以安全性遠高於短信驗證。然而,它的便利性已經降低,這可能是它不那麽常見的原因。