使用「雙重認證」登入便安全？首先別再以SMS接收驗證碼

8月1日，Reddit公布網站系統在6月中被黑客入侵，部分用戶資料被盜包括一些現有的電郵地址以及2007年的備份數據庫——後者含有用戶名稱、電郵地址和已加密儲存的密碼。

Reddit指黑客入侵了數位員工的帳戶，雖然系統要求雙重認證（2FA，又稱兩步驟驗證），但他們從中學到以SMS作認證「不像我們希望般安全」，黑客透過截取短訊成功入侵。

雙重認證

用上雙重認證的系統，在用戶登入時除了要輸入密碼外，亦須以另一種方式確認身份，其中一種常見方法是系統傳SMS短訊給用戶，再由用戶輸入短訊內單次使用的驗證碼。雙重認證的好處在於，即使別人取得你的密碼，對方仍未能立即控制你的帳戶。

在2018年，所有人都應該使用雙重認證，讓帳戶多一重保障。不過Google的軟件工程師Grzegorz Milka在今年1月透露，即使Gmail引入雙重認證近7年，仍然只有不足一成的活躍帳戶使用雙重認證——假如你亦未啟用雙重認證，請看完這篇文章後立即更改設定。

雙重認證雖然好，然而以SMS短訊接收驗證碼其實沒有那麼安全——可能僅比不使用雙重認證安全——因為黑客已經學會取得驗證碼的方法。

控制你的手機號碼

雖然Reddit表示黑客用的方法是「截取SMS」，未有明確解釋，只提及有關員工的電話沒有被入侵，然而有數名安全專家認為，黑客實際上透過「SIM騎劫」（SIM hijacking）攻擊去控制帳戶。

要進行「SIM騎劫」，黑客首先要知道目標的電話號碼，再偽裝成目標前往電訊公司，訛稱丟失了SIM卡，要求把電話轉移至新的SIM卡上。雖然電訊公司職員會要求提供資料確認身份，但所需的資料通常不多，黑客可透過其他方法取得。

只要成功說服電訊公司職員把目標的電話號碼轉移至新SIM卡，黑客基本上成功控制了目標的電話號碼，收取短訊，受害人則無法再使用該號碼。現時不少網絡帳戶都會跟電話號碼連結，因此黑客可以控制受害人其他帳戶，甚至可以偷走其加密貨幣和銀行存款。

此外，電話網絡所用的訊息系統本身亦有其漏洞，容易入侵來竊聽、截取訊息或追蹤位置，這些情況下受害人甚至不會立即知道帳戶被盜。

驗證應用程式

既然啟用雙重認證是為了確保帳戶安全，自然不應再使用容易被黑客攻擊的SMS短訊收取驗證碼。目前不少網絡平台均有提供其他方法作雙重驗證，較簡單的是使用驗證應用程式，例如Authy、Duo Mobile及Google身份驗證器等。

安裝驗證應用程式後，先到帳戶設定啟用雙重認證，再選擇使用驗證程式——假如你已經啟用，但以短訊接收驗證碼的話，亦可修改驗證方法。這些時候，系統會顯示一個QR二維碼，只需要打開驗證應用程式，選擇「新增帳戶」再掃描一下，便能完成設定。設定好後，再次登入時只需要打開驗證程式，輸入相應的驗證碼便能夠登入（驗證碼會隨時間不斷改變）。

Google帳戶亦提供一種更方便的驗證方式——Google提示（Google Prompt）——啟用後，用戶登入時會其手機會顯示訊息，只要點一下確認身份便完成認證，較為方便快捷。

緊記設定後備方案

必須注意的是，驗證程式安裝在你的手機上，萬一遺失手機便無法再登入，因此設定使用驗證程式的同時，亦應該啟用備用驗證碼，讓系統產生多個單次使用的驗證碼，同樣可以用作雙重認證。這些驗證碼非常重要，需要儲存在安全地方。

另外，Facebook在「帳戶安全和登入」中容許用戶設定「帳戶被鎖住時能夠聯絡的朋友」，只要選上3至5位Facebook上的朋友，萬一忘了密碼、丟失手機時，只要用戶能聯絡這幾個人取得驗證碼，仍然可以重新登入帳戶。

當然，還是要設定好一個安全的密碼，而且不要在其他地方重複使用這個密碼。

使用「雙重認證」登入便安全？首先別再以SMS接收驗證碼

我們想讓你知道的是