雙步驟驗證 (2FA) 雖然被認為是比單靠密碼登入更加安全的身份驗證方式,不過也有可能存在風險。最近大型短訊路由服務供應商 YX International 被發現有數據庫未經加密在網絡上流通,其中包括大量 2FA 密碼記錄。
據消息指,提供短訊路由服務以及手機網絡裝置的 YX International 客戶相當多,其每天處理的自動化短訊,包括 2FA 密碼短訊等數以百萬計。最近經安全研究員 Anurag Sen 追溯數據庫的來源並發現是來自 YX International 後,他們也確認了這個內部數據庫未經加密保護,而且可以在互聯網上只有存取,數據庫之中包括了重要的用戶數據,包括 2FA 短訊中的密碼以及相關連結。
目前 YX International 方面雖然已經修補漏洞,不過由於他們並未有記錄數據庫的存取情況,因此是否有人未經許可存取過,以及在網上公開了多久,都仍然未知。2FA 雖然可以讓網上平台透過手機短訊等方式確認用家的身份,卻因為中間可以直接從電訊商或者短訊服務商攔截密碼,因此也存在一定風險。現在流行的 Passkeys 方式就希望透過生體認證等方式解決問題。
來源:TechCrunch
