确保网上资金调拨安全，不是所有双重身份验证的手段都有效

（大中网/096.ca讯） 加拿大环球邮报（Globe and Mail）报道说，长期以来，除了密码之外，一个额外的身份验证，如邮件验证码、短信通知或安全问题，一直是确保网上银行或投资账户安全的一个显而易见的方法。

但是，随着复杂的网络攻击越来越常见，网络安全专家警告说，某些类型的双身份验证（2FA）比其他类型的更好。

一般来说，选择接收手机短信或电子邮件中的一次性验证码，与依赖验证程序生成具有时间敏感性的数字字符串相比，安全性较低。

金融机构通常会强制要求客户注册某种形式的双身份验证。比如，在多伦道金融街（Bay Street）多家金融机构中，基于短信的双身份验证仍很普遍，却很少鼓励客户使用更安全的身份验证应用程序。

总部位于旧金山的网络安全公司 Material的联合创始人兼主席鲁恩（Ryan Noon）强调说，任何形式的双身份验证都比依赖单一登录方式要好。

他注意到，由于人们经常在不同的网站重复使用相同的几个密码，很有可能他们的密码早已暴露给了黑客。

他说："只要坏人掌握了你其中一个密码就可以打开许多保险箱了。"

位于德克萨斯州的安全公司 SpyCloud Labs 高级副总裁希利戈斯（Trevor Hilligoss）表示，基于短信和电子邮件的双身份验证仍然容易受到各种攻击。

通过短信获取验证码很容易受到SIM卡挂失的威胁，比如，欺诈者假冒客户与电信公司取得联系，挂失客户的SIM卡后就可以获得授权，访问客户的短信。

网络犯罪分子还可以拦截短信和电子邮件。

而身份验证应用程序则直接在用户设备上生成代码，无需通过网络发送数据。代码的再生速度很快（通常每 30 秒一次），这也增加了犯罪分子窃取代码的难度。

希利戈斯提醒说，欺诈者甚至可以通过一些方法获取身份验证应用程序生成的信息，或者完全绕过双身份验证过程。

他表示，要想获得更强大的保护，可以使用存储在安全密钥（U 盘等实体设备）上的信息作为额外的验证方式。

另一种确保账户安全的先进方法是加密验证（passkeys），它由两个数值组成，一个保存在你的设备上，另一个保存在你访问的网站或应用程序上。例如，谷歌和微软现在都支持这种登录方法。

但加密验证尚未被广泛采用，一般只有在面临特别高的安全风险时，才建议保留实体设备密钥。

作为适合日常使用的一种更常见的选择，希利戈斯认为，基于应用程序的双身份验证是一个很好的折中方案。

然而，在对 11 家银行和数字经纪商的抽样调查中，除了一家以外，有10家银行和代理商都把基于短信的双身份验证作为检查用户身份的主要选择。只有两家机构表示鼓励客户使用身份验证应用程序。

总部位于纽宾士域省的网络安全软件公司 Beauceron 的首席执行官希普利（David Shipley）表示，金融机构通常对推出更安全的身份验证选项持谨慎态度，担心繁琐的验证过程会激怒客户。

他说："金融机构害怕给客户带来不便，害怕客户流失到其他更容易操作的银行。他们宁可选择越来越多地为客户带来损失的陈旧技术，也不愿引入新的变革。"

另外，一些金融机构采用的技术非常陈旧，很难引入新的安全功能。

希普利发现，银行监管机构可以在推动金融机构采用多重身份验证方面发挥作用。

他说：“如果每家机构都被迫在同一时间采用同一多重身份验证标准，那么他们就不有后顾之忧，也就消除了竞争压力。”