本周,美国网络安全与基础设施安全局(CISA)发布了一份警告,指出短信验证码已不再是安全的身份验证方式,尤其对于高风险目标来说,潜在风险极大。
“短信本身没有加密,任何能够访问电信运营商网络的攻击者,都可以拦截并读取这些消息,”CISA警告道。这意味着,短信验证码无法有效防止网络钓鱼攻击,对高风险目标而言尤为危险。
为了应对这一问题,CISA建议用户转向更安全的验证选项,例如:认证App,如Google Authenticator或Authy等应用程序提供更高的安全性;FIDO身份验证,通过硬件密钥或生物特征验证方式实现安全防护。
CISA还强调,虽然部分在线服务尚未提供双重认证的替代方案,但用户应尽可能选择更安全的验证方法,以降低被黑客攻击的风险。此外,CISA提供了以下建议,帮助用户保护个人信息安全:使用密码管理器,创建并管理强密码,避免重复使用密码;启用PIN保护,为重要帐户和设备增加额外的安全层;保持设备更新,及时安装安全补丁,以修复潜在漏洞。
本月早些时候,一场被称为“Salt Typhoon”的大规模网络入侵事件暴露出更多的安全问题。尽管相关机构已采取行动,但目前尚无法确认所有恶意行为者已被完全清除。