返回博客
双因素认证GoogleInstagram身份黑客攻击
双因素认证的陨落:为什么 Google 和 Instagram 无法保护你
从 Google 账户被接管到 Instagram 会话劫持,"安全"的双因素认证时代正在终结。中心化身份正在辜负我们。
Miguel Treviño•
要点速览:
- **问题:**使用了10年并开启了双因素认证的账户正在被完全劫持——通过重置恢复手机号和劫持会话令牌。
- **弱点:**中心化平台(Google、Meta)依赖数据库,其中身份只是一个可以被社会工程或黑客攻击的"行"。
- **结果:**用户面临"数字死亡"——被完全锁定在电子邮件、照片和账户之外,中心化客服无能为力。
- 解决方案:Zelf 的非托管 ZK 面部证明将身份控制移至边缘。你就是密钥,黑客没有中心化的开关可以翻转。
十年来,建议一直很简单:"开启双因素认证(2FA)。"
但当双因素认证不够用时会怎样?
来自 Kanakaljabir 和 Sushyant 的最新报告描绘了中心化安全的惨淡画面。
Google 噩梦
一位用户报告了使用10年的 Google 账户被劫持。攻击者不仅仅猜到了密码;他们还成功更改了恢复手机号、替换了身份验证器应用,并重置了通行密钥。
结果?完全锁定。受害者的数字生活——电子邮件、照片、联系人——瞬间消失,没有任何追索途径,因为"系统说不行。"
Instagram 绕过
同样,用户报告 Instagram 在激活双因素认证的情况下仍被入侵。无论是通过会话令牌劫持(在你登录后窃取"cookie")还是通过复杂的钓鱼攻击诱骗你在虚假网站上输入验证码,六位数的防线正在崩塌。
问题在于中心化
这些黑客攻击之所以成功,是因为你的身份只是中心化数据库中的一个数字条目(
user_id: 12345)。如果黑客能说服该数据库更新一行——通过窃取会话令牌或社会工程客服——他们就成为了你。Zelf:你就是密钥
Zelf 采取了根本不同的方法。我们不持有你身份的密钥——你自己持有。
- 非托管:我们无法"重置"你的账户,因为我们从未拥有过它。黑客无法打电话给 Zelf 客服冒充你,因为我们没有"主控开关"。
- ZK 面部证明:使用 Zelf 进行认证不是发送一个验证码(可以被窃取)。而是密码学地证明活体性和所有权。
- 防钓鱼:你不会意外地在虚假网站上"输入"你的面部。Zelf 的证明绑定到你的特定会话和设备。
停止依赖六位数验证码和邮件重置。从根本上拥有你的身份。