这是一个创建于 4021 天前的主题,其中的信息可能已经有所发展或是发生改变。
当然是特例
https://ello.co/gb/post/knOWk-qeTqfSpJ6f8-arCQ
某人的两位instagram账号被黑了,原因是黑客社工了手机运营商,把绑定手机的来电转发设置给改了,然后重置密码让google打这个(绑定的)号码告知重置验证码。
之前有人用语音信箱的漏洞也把两步验证跳过了,手机运营商这方面仍然是两步验证的最大弱点。大部分人不会去注意很多默认的服务设置。而且社工往往还更简单,客服怕得罪顾客。
https://ello.co/gb/post/knOWk-qeTqfSpJ6f8-arCQ
某人的两位instagram账号被黑了,原因是黑客社工了手机运营商,把绑定手机的来电转发设置给改了,然后重置密码让google打这个(绑定的)号码告知重置验证码。
之前有人用语音信箱的漏洞也把两步验证跳过了,手机运营商这方面仍然是两步验证的最大弱点。大部分人不会去注意很多默认的服务设置。而且社工往往还更简单,客服怕得罪顾客。
 |
1
BinbinWang 2014-11-01 08:23:41 +08:00 via iPhone
两步验证程序丢失 连dropbox都登陆不上了
|
 |
2
robbielj OP @BinbinWang 可以用recovery code的,这点几乎所有提供两步验证的服务都一样。把它们存一份。
|
 |
3
coldwinds 2014-11-01 08:30:25 +08:00
用email进行2步验证比较适合
|
 |
4
DoubleJo 2014-11-01 08:39:35 +08:00
SMS能不用就不用吧,最好是硬件OTP。
|
 |
5
dong3580 2014-11-01 08:43:47 +08:00 via Android
国内的不开通没有吧
|
 |
6
cxd44 2014-11-01 08:53:23 +08:00
最近gd丢失域名那么多,没二步验证的商家还真不敢用了。
|
 |
7
SharkIng 2014-11-01 09:01:17 +08:00
唉,这么说来都会有风险的
|
 |
8
hjc4869 2014-11-01 09:07:13 +08:00
AFAIK,MS账号修改密码需要两种二步验证信息,必须是邮箱+短信或者邮箱*2之类的。
|
 |
9
egen 2014-11-01 10:42:39 +08:00
2步验证用 google authenticator 比较安全
|
 |
10
47jm9ozp 2014-11-01 10:55:02 +08:00
两步验证不应该是密码+验证器么,直接通过验证器(手机号)修改密码是什么鬼……这也太不靠谱了……
|
 |
11
9hills 2014-11-01 10:57:49 +08:00
标准的两步验证需要两个,一个是TOKEN一个是PASSWORD。所以它的安全性最少不会比PASSWORD更差。。。
|
 |
12
kmvan 2014-11-01 11:03:07 +08:00
客服MM被攻略了吗?求详情
|
 |
13
Aquamarine 2014-11-01 11:54:43 +08:00
所以短信还是身份验证器保险
|
 |
14
PP 2014-11-01 12:05:05 +08:00 via iPad
标题逻辑错误,此例无法论证两步验证更不安全。攻击过程针对的是服务器端,直接或变相绕过了两步验证。
|
 |
15
crab 2014-11-01 12:20:59 +08:00
这是手机运营商问题。除了2步验证外,其他和手机有关的,一样会被攻破。
|
 |
16
wzxjohn 2014-11-01 12:24:12 +08:00 via iPhone
@crab 同意,大前提错误。就像我说的如果你能接触到手机本身或者像本例这样变相接触到手机本身,那么任何方法都没有安全可说。所以楼主的案例无法得出两步验证更不安全,只能说这种情况两步验证一样挡不住。
|
 |
17
sandideas 2014-11-01 12:27:00 +08:00 via Android
但是目前来说运营商可信度还是比较高的,而且就算找到漏洞也不会弄你的谷歌或者域名。要弄也网银支付宝之类的吧
|
 |
18
a154312237 2014-11-01 13:43:46 +08:00
验证器 或者像apple那样的 通过设备同意 应该还行吧
|
 |
19
fanzheng 2014-11-01 14:03:37 +08:00 via iPhone
两步验证app用的authy
|
 |
20
momou 2014-11-01 14:29:51 +08:00
看来源,谷歌内部已经知道这事儿,应该很快会有解决办法吧。。。
|
|
21
robbielj OP @PP 不,我标题的意思并不是在论证2FA更不安全,只是说一个例子,一件事情,而且我也说了,这是特例。
甭管是怎么绕过的,2FA在这里还是增加了可攻击的手段。如果他压根没有设置2FA,那么这情况八成不会发生(他提到都是用随机的长密码)。 |
 |
24
Delbert 2014-11-01 20:59:28 +08:00
@BinbinWang 我今年密码忘记,邮箱用的是自己已经扔掉的一个邮箱,最后发信到dropbox找回了密码,然后又重置了邮箱。
|
 |
26
benjiam 2014-11-01 23:02:55 +08:00 via Android
社工了运营商,有这个前提的话,你社工了银行,银行系统也不安全
|
 |
27
Blackmailbox 2014-11-01 23:40:10 +08:00
用身份验证器!打印备用码!
用dropbox一定要把16位紧急验证码写下来!dropbox政策严格,就算你能改密码、验证邮箱,就算你证明了你是这个账号的拥有者,没有这个16位码 就是不让你登陆。血的教训啊! |
Select Language