印第安纳大学的一项研究发现,即使是许多精通技术的人也没有在网站和应用程序上使用双因素身份验证。 CNET 报告说,大多数人认为使用强密码就足够了。
据了解,印第安纳大学教授L. Jean Camp和印第安纳大学布卢明顿分校博士。学生Sanchari Das 对500 人进行了一项研究,以找出为什么双因素身份验证这种简单的安全措施不受欢迎。
在研究过程中,他们特意在校园里寻找精通技术的学生,以确保结果不会受到那些不了解什么是双因素身份验证的人的影响。他们希望参与者比普通人拥有更多的安全和计算机专业知识。
然后他们发现,虽然学生了解技术,但他们不明白为什么要采取这种网络安全预防措施。坎普教授说,参与者确信他们的密码足够长。
去年底的一项调查发现,超过一半的美国人从未听说过双因素身份验证,只有不到三分之一的人使用过这种安全措施。
Camp 教授提出的第二个问题是基于短信的双因素身份验证的漏洞。
“它不像使用物理安全密钥的双因素身份验证那样安全,因为文本消息仍然可以被拦截,”他说。本月早些时候,Reddit CTO Christopher Slowe 在一篇帖子中表示:“我们了解到,基于短信的身份验证并不像我们想象的那么安全,主要的攻击方式是通过短信拦截。”
事实上,两年多前,为认证软件制定标准的美国国家标准技术研究院就表示,未来将禁止使用短信进行双因素认证。目前,Apple 已经让使用双因素身份验证登录Apple ID 变得特别容易,这允许用户在任何受信任的设备上接收身份验证代码。
