兩步驟驗證(2FA)雖然被認為是比單靠密碼登入更加安全的身分驗證方式,不過也有可能存在風險。最近大型簡訊路由服務供應商 YX International 被發現有數據庫未經加密在網路上流通,其中包括大量 2FA 密碼紀錄。
據消息指,提供簡訊路由服務以及手機網絡裝置的 YX International 客戶相當多,其每天處理的自動化簡訊、包括 2FA 密碼簡訊等數以百萬計。最近經安全研究員 Anurag Sen 追溯數據庫的來源、並發現是來自 YX International 後,他們也確認了這個內部數據庫未經加密保護,而且可以在網路上只有存取,數據庫之中包括重要的用戶數據,包括 2FA 簡訊中的密碼以及相關連結。
目前 YX International 方面雖然已經修補漏洞,不過由於他們並未有記錄數據庫的存取情況,因此是否有人未經許可存取,以及在網路上公開了多久,都仍然未知。2FA 雖然可以讓網路平台透過手機簡訊等方式確認使用者的身分,卻因為中間可以直接從電訊商或者簡訊服務商攔截密碼,因此也存在一定風險。現在流行的 Passkeys 方式就希望透過生物辨識等方式解決問題。
(本文由 Unwire Pro 授權轉載;首圖來源:Unsplash)
科技新報粉絲團
加入好友
訂閱免費電子報
