官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
据BleepingComputer消息,俄罗斯微信——VK终于开始引入双因素身份认证,并计划在 2022 年 2 月强制要求大型社区的管理员使用。
VK全称是VKontakte,来自于俄语“В Контакте”,意思就是“保持联系”,俄罗斯最受欢迎的社交媒体平台,致力于打造简洁便捷的交流工具,联通生产、生活和服务,拥有超过 6.5 亿用户。
自2021年2月开始,VK所有订阅人数超过 10000 的社区必须由2FA安全管理员帐户管理,以防止出现大规模网络钓鱼事件。就在12月20日,网络钓鱼诈骗者入侵了VK官方 Yandex Go 社区并向其所有订阅者发送网络钓鱼消息。虽然VK在两分钟后对被盗的账户进行了控制,但是已经有一些用户因此而损失了不少钱财。
资料显示,目前VK订阅人数超过 10000 的社区超过 140000 个,因此引入双因素认证等增加安全的措施还是会影响到巨大部分用户,但不可否认的是,用户也将会因此而更安全。
在所有服务上添加 2FA 的新用户保护程序名为“ VK Protect ”,还包括一个用户安全控制中心,帮助他们评估自己的安全立场、访问新的隐私设置,并遵循有关如何改进帐户的相关提示安全。
VK信息安全总监安东·安特罗波夫 (Anton Antropov)就该功能表示,VK正在创建一个全面的系统来提高用户安全。其目标不仅仅是使用现有的安全技术(例如双因素认证)配置文件和数据提供防护,还包括增强用户的安全意识,以及如何更好使用安全工具和软件,
我们正在创建一个全面的系统来提高用户安全。我们的目标不仅是使用现有工具(例如双因素身份验证和加密)为配置文件和数据提供技术保护,而且还帮助人们明智地使用它们。为了更好地打击潜在的网络钓鱼和挖掘安全漏洞风险,VK宣布重启并进一步扩大其漏洞赏金计划。
2FA并不能保证一定安全
虽然VK提出了2FA等安全措施,对于平台用户的安全性有了显著的提升,但是这并不意味着这些安全技术就可以保证用户账户的百分百安全。
众所周知,双因素身份验证通常是利用SMS 文本发送一次性密码 (OTP),但是如果攻击者通过 SIM 交换攻击获得了用户的访问权限,那么他们也可以访问到一次性密码。
因此在配置2FA时,VK建议用户只通过设备访问身份验证的应用程度,例如Authy或 Google Authenticator,此时即使遭遇了SIM交换攻击,那么他们也无法访问到那些一次性密码。
总而言之,仅仅依赖某项安全技术是无法确保账户的安全,用户需要提高对安全的重视程度,整体提升企业安全性,例如使用字母+数字+符号的强密码,提高网络防钓鱼意识,避免点击网络钓鱼电子邮件等。
参考来源:https://www.bleepingcomputer.com/news/security/vk-introduces-2fa-and-plans-to-make-it-mandatory-in-2022/