返回部落格
2fagoogleinstagram身份駭客入侵
2FA 的崩潰:為什麼 Google 和 Instagram 無法保護你
從 Google 帳戶被接管到 Instagram 會話劫持,「安全」的 2FA 時代正在結束。中心化身份正在辜負我們。
Miguel Treviño•
重點摘要:
- 問題: 有 10 年歷史且啟用了 2FA 的帳戶通過重置恢復電話號碼和劫持會話令牌被完全接管。
- 弱點: 中心化平台(Google、Meta)依賴資料庫,其中身份只是一個可以被社交工程或駭客入侵的「行」。
- 結果: 用戶面臨「數位死亡」——被完全鎖在電子郵件、照片和帳戶之外,中心化客服無法提供任何幫助。
- 解決方案: Zelf 的 非託管 ZK 人臉證明 將身份控制移至邊緣。你就是金鑰,駭客沒有中心化的開關可以翻轉。
十年來,建議一直很簡單:「開啟雙因素認證(2FA)。」
但當 2FA 不夠用時會怎樣?
來自 Kanakaljabir 和 Sushyant 的最新報告描繪了中心化安全的嚴峻畫面。
Google 的噩夢
一位用戶報告其有 10 年歷史的 Google 帳戶被劫持。攻擊者不僅僅是猜到了密碼;他們成功地 更改了恢復電話號碼、交換了 Authenticator 應用程式,並重置了通行金鑰。
結果?完全鎖定。受害者的數位生活——電子郵件、照片、聯絡人——瞬間消失,因為「電腦說不行」而毫無補救辦法。
Instagram 被繞過
同樣,用戶報告儘管啟用了 2FA,Instagram 仍被入侵。無論是通過會話令牌劫持(在你登入後竊取「cookie」)還是誘騙你在假網站上輸入驗證碼的複雜釣魚,6 位數的防護正在崩潰。
問題是中心化
這些入侵之所以成功,是因為你的身份只是中心化資料庫中的一個純數位條目(
user_id: 12345)。如果駭客能說服該資料庫更新一行——通過竊取會話令牌或社交工程客服——他們就 成為 了你。Zelf:你就是金鑰
Zelf 採取了根本不同的方法。我們不持有你身份的金鑰——你自己持有。
- 非託管:我們無法「重置」你的帳戶,因為我們從未擁有它。駭客無法打電話給 Zelf 客服冒充你,因為我們沒有「主開關」。
- ZK 人臉證明:使用 Zelf 進行身份驗證不是發送一個驗證碼(可以被竊取)。而是以密碼學方式證明 活體 和 所有權。
- 不可釣魚:你無法意外地在假網站上「輸入」你的臉。Zelf 的證明綁定到你的特定會話和設備。
停止依賴 6 位數驗證碼和電子郵件重置。從根本上擁有你的身份。