这并不是一个新问题，但我们似乎不得不继续声明一个显而易见的事实——基于短信的OTP并不能提供足够好的安全性。正如最近的头条新闻所证明的那样，大规模的诈骗导致数百万人从网上银行账户中被盗，是时候让企业考虑其他选择了。这种特殊的攻击是复杂的：攻击者知道如何欺骗关于移动电话位置、设备id等欺诈检测措施。为了做到这一点，攻击者从用户的手机中窃取信息，并设置手机模拟器，使银行认为这是合法的。在一些案例中，攻击者甚至让手机看起来像是用户注册的新手机。这种攻击的一个有趣的方面是，它似乎是自动的，从而使攻击者可以窃取大量的金钱。

以上听起来令人印象深刻，但实际上，它比它应该是容易得多。这是因为，虽然这些银行使用了“应该”防止此类欺诈活动的多因素认证，但使用的多因素方法是基于短信的OTP(一次性密码通过短信发送给用户)。不幸的是，众所周知，基于sms的OTPs安全性很差，实际上攻击者能够窃取它们。现在，我们还不清楚这是如何实现的，但我们知道有很多方法可以绕过基于短信的OTP。其中一种主要的方法是sim -swap，在这种方法中，攻击者使手机运营商相信用户已经更换了他们的手机，并将电话号码重新分配给攻击者的手机。这不是在这个特定的案例中发生的事情，但是有其他的方法。例如，SMS通信是不加密的，因此可能会被拦截(只是要清楚，我不知道在这种情况下发生了什么，但我只是指出，这在理论上是可能的)。

基于强密码秘密的强多因素身份验证是减轻此类攻击的更好机制。一种可能是使用用户持有的专用硬件令牌(如智能卡)，但这些有重大的可用性问题。另一种可能性是在用户的移动设备上使用强加密密钥，但如果设备被黑，那么密钥就可能被窃取。因此，只有当手机使用了防止密码被盗的方法时，即使手机完全被黑客入侵并被攻击者拥有，手机才应该被使用。幸运的是，这样的方法确实存在(例如，利用安全多方计算来保护密钥的未绑定平台)，但首先，银行和其他企业需要认识到，基于短信的OTP的安全弱点超过了可用性优势。当强大的解决方案确实存在于用户的手机上时，尤其如此，所以没有必要要求外部硬件设备，这确实是个问题。我希望企业和银行能够采用更好的技术，在不损害可用性的情况下提供更高的安全性。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 通过检测身份认证器设备上的风险来增强您的安全状况

• SafeNet OTP 110

• SafeNet身份验证服务私有云版（PCE）

• 由Microsoft 365的MFA漏洞引申的安全准则

• SAS身份认证服务