2 요인 인증 (2FA)은 계정의 안전을 높이는 훌륭한 방법입니다. 그러나이 추가 보안 수준에도 불구하고 악의적 인 엔티티는 침투하는 방법을 찾습니다. 중간 수준의 So -Called Enemation은 계정에 액세스하기 위해 약한 인증 방법의 장점을 사용합니다. 이중 인자 및 다중 인 인증 (MFA)은 약할 수 있지만 다행히도 이것으로 무언가를 할 수 있습니다.
다 인증 인증의 작동 방식
MFA는 둘 이상의 제어 지점을 사용하여 사용자 식별을 확인하여 계정 또는 시스템에 액세스합니다. 이것은 사용자와 비밀번호의 조합에만 의존하는 것보다 더 안전합니다. 특히 암호를 많이 갖는 것이 얼마나 쉬운 지, 어두운 네트워크에서 얼마나 많은 사람들이 찾았는지 고려합니다. 비밀번호는 종종 기본적이고 반복되므로 비밀번호가 손상 되 자마자 많은 계정을 관통하는 데 사용할 수 있습니다. 그렇기 때문에 각 계정에 강력하고 고유 한 비밀번호를 사용하는 것이 중요합니다.
MFA를 사용하면 암호로 충분하지 않습니다. 여기에서 사용자는 자신의 사용자 이름을 확인해야하며, 증거의 추가 부분을 사용하여 이상적으로는 액세스 할 수 있습니다. 지식 요소 (핀 코드), 소유권 (인증 자 응용 프로그램의 코드) 또는 식별 요소 (지문) 일 수 있습니다.
2FA와 MFA는 종종 상호 교환 적으로 사용되지만 반드시 동일하지는 않습니다. 2FA는 두 가지 요소를 사용하여 비밀번호와 보안 문제 또는 SMS 코드와 같은 사용자 시스템 입력을 확인합니다. 2FA를 사용하면 두 가지 요소 모두 사용자가 암호 및 PIN 코드와 같은 사용자가 알고있는 것일 수 있습니다.
MFA에는 적어도 두 가지 요소가 필요합니다 ~ 해야 하다 독립 : 비밀번호와 같은 지식 요소와 생체 인식 식별자 또는 보안 키 또는 1 타임 암호와 같은 안전한 인증 자의 조합. 일반적으로 인증 요소가 많을수록 계정의 보안이 커집니다. 그러나 동일한 장치에서 모든 요소를 찾을 수 있다면이 장치가 해킹, 손실 또는 도난당한 경우 안전이 위험에 처해 있습니다.
MFA는 여전히 손상 될 수 있습니다
계정에 MFA를 포함 시키면 안전하다고 느낄 수 있지만 일부 MFA 방법은 사용자 이름과 비밀번호만큼 쉽게 손상 될 수 있습니다.
Ars Technica에 따르면, 특정 지식과 소유권 요소 자체는 피싱의 대상이됩니다. SMS 및 이메일을 통해 전송 된 공격과 같은 중간 인증 강령의 대적으로 알려진 공격, Authenticator 응용 프로그램의 일회용 임시 암호로 해커는 무의식적으로 전송 한 요소를 통해 계정에 액세스 할 수 있습니다.
지금까지 어떻게 생각하십니까?
공격은 다음과 같이 작동합니다. Bad Actors는 귀하의 계정 중 하나 (예 : Google)가 입구를 참조하여 손상되어 차단되었다는 메시지를 보냅니다. 링크는 얻는 페이지와 같이 실제처럼 보이지만 실제로는 프록시 서버에 연결된 피싱 링크입니다. 서버는 입력 한 계정 데이터를이 Google 웹 사이트로 보내서 MFA의 법적 요청을 시작합니다 (그리고 계정에서 MFA를 설정하면 이것이 의심 스럽다고 믿을 이유가 없습니다). 그러나 피싱에 대한 인증 코드를 입력하거나 푸시 알림을 승인하면 해커에게 귀하의 계정에 액세스 할 수 있도록 의도하지 않게 제공했습니다.
평균 준수 덕분에 온라인 포럼에서 사용할 수있는 일련의 도구로 피싱 덕분에 수행하기가 훨씬 쉽습니다.
MFA 보안을 최대화하는 방법
MFA에 의해 최대 수익을 얻으려면 SMS 코드와 같은 요소에서 전환 할 가능성과 피싱에 더 저항하는 인증 방법에 대한 알림에 대한 알림을 고려하십시오. 가장 좋은 옵션은 장치 용 장비 또는 Yubikey와 같은 주요 물리적 보안 키에 저장되는 WebAuthn 회계 (생체 인식 또는 승객)를 기반으로하는 MFA입니다. 인증은 실제 URL 주소와 장치의 바로 근처 또는 근처에서만 작동하므로 적의 공격은 거의 불가능합니다.
MFA 방법을 전환하는 것 외에도 일반 피싱 붉은 깃발을 두려워해야합니다. 많은 피싱 체계와 마찬가지로, MFA는 계정을 손상시키는 것에 대한 사용자 감정이나 불안의 생성과 문제를 해결하기위한 긴급함을 공격합니다. 알 수없는 발신자의 메시지에서 링크를 클릭하지 않으며 정당성을 확인하지 않고 의심되는 안전 문제에 응답하지 마십시오.
