在叙利亚网军相继入侵美联社、《卫报》和洋葱新闻等知名Twitter用户帐号之后,Twitter宣布引入双步认证功能,增加此类攻击的难度。
双步认证机制要求用户在登录时输入发送到手机的一次性代码,Google和微软也都提供了类似的可选安全登录功能。而Twitter的做法更为周到:用户每次在Twitter网站上登录都要输入短信代码,但缺陷是用户手机的运营商必须在Twitter短信服务所支持的运营商名单之中。Twitter支持的运营商名单没有中国大陆、香港和台湾运营商的名字。每个帐号只能捆绑唯一的手机号码,这个手机号码不能与其它帐号共享,如果你有多个帐号,但只有一个手机号码,你只能让其中一个号码用双步认证保护。
关于Google两步验证登陆,有不少人质疑其安全性,主要是因为对电信运营商的不信任。两步登陆用了两天多了,今天早上也专门试了试它的一些情况,在这里刚好总结一下。
设置为两步登陆后,完成第二步登陆的数字码有三种途径可以获得,一是通过手机上的程序生成,二是通过设定的手机接收短信,三是设置时生成的备用数字 验证码。此外,利用程序特有密码(Application-specific Password)也是一个访问Google账户中数据的方法,下面分别从这四方面来分别分析它的安全性。
需要说明的是,对于设置了两步登陆的账号,单独得到其账户密码和数字验证码都是没有用的,而且,通过程序生成和短信接收得到的六位数字验证码还有一个时效限制。
一、手机程序生成数字码的安全性
六位数字码每30秒就改变一次,具体哪一秒改变,不同的设备不一样,时间是数字码生成中的一个很重要的变量,无论是是关闭程序还是如何,只要是30 秒内,生成的数字码是不变的。但这并不意味着数字码被猜中的机率为百万分之一,因为这个数字码是有“有效期”的,时间从两步登陆中第一步登陆数据的提交开 始计算,从那开始,五分钟内生成的共计10个数字验证码中任意一个都可以辅助完成登陆,也就是说,数字码验证被突破的机率应该是十万分之一。这一点也是用 户无法控制的,保密工作的重点不在这一步。 Continue reading »