這是一篇觀點社論 海蒂·波特,企業家 35年的技術。
用戶安全
在之前的文章中關於 安全 和 數據洩露,我們討論了對您的比特幣賬戶和您想要保護的任何其他賬戶進行多重身份驗證(MFA) 的必要性。
如果您的帳戶被盜或有人被發送到惡意網站並意外下載惡意軟件而不是經過驗證的軟件,黑客將繼續發生。
這將是關於為您的帳戶、節點和應用程序提供更具彈性的用戶安全性的系列文章中的第一篇。我們還將介紹更好的電子郵件選項、更好的密碼以及更好地使用虛擬專用網絡(VPN)。
現實情況是,您在任何系統中的任何在線金融交易都永遠不會完全安全。但是,您可以實施更具彈性的工具集和最佳實踐來增強安全性。
什麼是多因素身份驗證,我為什麼要關心?
(資源)
據網絡安全和基礎設施安全局稱,“多因素身份驗證 是一種保護數據和應用程序的分層方法,其中系統要求用戶提供兩個或多個憑據的組合來驗證用戶的登錄身份。 ”
當我們登錄在線帳戶時,我們通常旨在使用額外的驗證層或鎖定來阻止攻擊者或黑客。
與您自己的家相比,多把鎖提供了更多的安全性。如果一種形式的身份驗證很好,例如密碼,那麼兩種形式(又名MFA)可能會更好。
請注意,如果您只使用生物特徵認證,那就是單因素認證。這只是您使用的任何方式的生物特徵:拇指、虹膜、面部識別等。如果您使用1 個沒有密碼的硬件密鑰,這也是單因素身份驗證。
但是,如果將生物特徵或密鑰用作第二個因素,它可以滿足多因素身份驗證的目標,並且比許多基於應用程序的MFA 更安全。
使用MFA,您必須使用以下3 種身份驗證機制中的至少2 種:
- 你知道的東西(密碼、PIN 等)
- 你擁有的東西(代碼、設備)
- 你是什麼(指紋或其他生物特徵)
我應該在哪裡使用MFA 以及什麼樣的MFA?
使用MFA,您必須至少具有兩種身份驗證機制。
至少,您應該為您的設備設置MFA:
- 比特幣交易所(但在購買後儘快將您的資金從他們那裡取出)。
- 比特幣節點和礦工。
- 比特幣和閃電錢包。
- Lightning 應用程序,例如RTL 或Thunderhub。
- 雲提供商,例如電壓帳戶。
注意:每個帳戶或應用程序都需要支持您正在使用的MFA 類型,並且您必須向該帳戶或應用程序註冊MFA。
MFA 提供商通常包括不太安全的選項,例如:
- SMS、電話或電子郵件一次性密碼(OTP) 或基於時間的一次性密碼(TOTP)
- 基於移動推送的身份驗證(如果管理得當會更安全)。
MFA 提供商有時還包括更安全的選項,例如:
- 身份驗證器應用程序。
- 生物特徵驗證。
- 硬件密鑰。
- 智能卡。
猜猜大多數傳統金融機構使用哪種類型的MFA?它通常是不太安全的MFA 選項之一。也就是說,MFA 的身份驗證器應用程序和硬件密鑰並非都是平等的。
MFA 和營銷錯誤信息
首先,讓我們談談MFA的營銷。如果您的MFA 提供商自詡為不可破解或99% 不可破解,那麼他們正在吹噓多因素BS,您應該尋找另一個提供商。所有MFA 都是可破解的。目標是擁有更不易被黑客入侵、更能抵禦網絡釣魚、更具彈性的MFA。
註冊電話號碼會使MFA 容易受到 SIM交換. 如果您的MFA 沒有良好的備份機制,則該MFA 選項很容易丟失。
一些MFA 更容易破解。
一些MFA 更易於跟踪。
一些MFA 或多或少可以備份。
在某些環境中,某些MFA 或多或少是可訪問的。
不易破解和可追踪的MFA
使用身份驗證器應用程序、智能卡或硬件密鑰(如Yubikey)更安全地完成多因素身份驗證。
因此,如果您有基於應用程序或硬件的MFA,那麼您很好,對嗎?嗯,沒有。即使您使用的是基於應用程序或硬件MFA,也並非所有身份驗證器應用程序和硬件設備都是一樣的。讓我們看看一些最流行的身份驗證器應用程序以及它們在跟踪、黑客和備份方面的一些漏洞。
- Twilio Authy 需要您的電話號碼,這可能會讓您通過SIM 卡交換進行妥協。初始設置是SMS。 筆記: 鑑於您對Authy 的滿意程度 Twilio 最近的內部數據洩露?
- Microsoft Authenticator 不需要電話號碼,但無法傳輸到Android,因為它已備份到iCloud。
- Google Authenticator 也不需要電話號碼,但沒有在線備份,只能從一部手機轉移到另一部手機。
此外,有些人認為所有這些應用程序的彈性較差,容易受到網絡釣魚或 中間人 (MITM) 攻擊。
您的賬戶和財務如何受到損害
“人們應該盡可能使用防網絡釣魚MFA 來保護有價值的數據和系統”—— 羅傑·A·格萊姆斯,網絡安全專家和“黑客多因素身份驗證”的作者
就像許多金融和數據公司一樣,比特幣公司一直是多次數據洩露的目標,攻擊者獲得了客戶的電子郵件地址和電話號碼。
即使沒有這些違規行為,找到某人的電子郵件地址和電話號碼也不是特別難(如之前的文章中所述,最佳做法是為您的比特幣帳戶使用單獨的電子郵件和電話號碼)。
使用這些電子郵件,攻擊者可以執行網絡釣魚攻擊並攔截登錄憑據:密碼和多重身份驗證已用作您任何帳戶的第二個身份驗證因素。
我們來看一個典型的中間人釣魚攻擊過程:
- 您單擊一個鏈接(或掃描QR 碼),您將被發送到一個與您要訪問的合法站點非常相似的站點。
- 您輸入您的登錄憑據,然後系統會提示您輸入您輸入的MFA 代碼。
- 攻擊者然後捕獲訪問會話令牌以成功驗證合法站點。您甚至可能被引導到有效站點並且永遠不知道您已被黑客入侵(請注意,會話令牌通常只對那個會話有效)。
- 然後攻擊者可以訪問您的帳戶。
順便說一句,請確保您已將MFA 附加到錢包或交易所的提款中。方便是安全的敵人。
防釣魚MFA
為了抵禦網絡釣魚,您的MFA 應該是 身份驗證器保證級別3 (AAL3) 解決方案。 AAL3 引入了AAL2 之外的幾個新要求,最重要的是使用基於硬件的身份驗證器。有幾個額外的身份驗證特徵是必需的:
- 驗證者模擬抵抗。
- 驗證者妥協抵抗。
- 身份驗證意圖。
快速身份在線 2 (FIDO2) 是AAL3 解決方案。深入了解不同FIDO 標準的細節超出了本文的範圍,但您可以在“FIDO、FIDO2 和WebAuthn 完整指南。 ” Roger Grimes 於2022 年3 月在其LinkedIn 文章中推薦了以下AAL3 級MFA 提供商“我的好強MFA列表。 ”
重要的提示: 雖然我沒有調查所有這些供我個人使用,但我相信任何比特幣製造商或比特幣公司都應該要求他們的第三方提供商或集成提供商提供他們使用哪種MFA 提供商的詳細信息,並確保它是網絡釣魚-抵抗的。
MFA 硬件密鑰和智能卡
硬件密鑰,例如 尤比奇,是不易破解的MFA 形式。此外,您的電話號碼與鑰匙無關,因此不易追踪。 (我使用Yubikey)。您無需輸入生成的代碼,而是按下硬件密鑰上的按鈕進行身份驗證。硬件密鑰具有唯一代碼,用於生成代碼以確認您的身份,作為第二個身份驗證因素。
硬件密鑰有兩個注意事項:
- 您的應用需要支持硬件鍵。
- 您可能會丟失或損壞硬件密鑰。許多服務確實允許您配置多個硬件密鑰。如果你失去使用一個,你可以使用備用。
智能卡是另一種MFA 形式,具有類似的網絡釣魚防護能力。我們不會在這裡詳細介紹,因為它們似乎不太可能用於比特幣或與閃電相關的MFA。
移動:受限空間需要硬件設備
多因素身份驗證的另一個考慮因素是您是否會遇到需要MFA 並且無法使用手機或智能手機的情況。
比特幣用戶可能發生這種情況有兩個主要原因:
- 低或無小區覆蓋
- 您沒有或無法使用智能手機
由於面向客戶的工作環境或個人喜好,手機使用可能存在其他限制。呼叫中心、K-12 學校或研發實驗室等高安全環境是手機受限的一些區域,因此您將無法使用手機驗證器應用程序。
在您使用計算機但沒有智能手機的這些特殊情況下,您將需要智能卡或硬件密鑰來進行MFA。您還需要您的應用程序支持這些硬件選項。
另外,如果你不能在工作中使用手機,你應該如何在休息時在洗手間裡堆坐?
邁向更具彈性的MFA
MFA 可能會被黑客入侵,您的帳戶可能會遭到入侵。但是,您可以使用更具彈性和防網絡釣魚的MFA 更好地保護自己。您還可以選擇不與您的電話號碼綁定並且具有足夠的備份機製或擁有備用密鑰的能力的MFA。
對網絡攻擊的持續防禦是一場持續的貓鼠遊戲,或打地鼠遊戲。你的目標應該是變得不那麼容易被黑客攻擊和跟踪。
其他資源:
這是海蒂·波特的客座文章。所表達的觀點完全是他們自己的觀點,不一定反映BTC Inc. 或比特幣雜誌的觀點。