使用「雙重認證」登入便安全?首先別再以SMS接收驗證碼

使用「雙重認證」登入便安全?首先別再以SMS接收驗證碼
Image Credit: Depositphotos

我們想讓你知道的是

現時不少網絡服務均提供雙重認證,讓帳戶多一重保障,然而啟用時仍需留意,假如以SMS接收驗證碼其實沒那麼安全。

8月1日,Reddit公布網站系統在6月中被黑客入侵,部分用戶資料被盜包括一些現有的電郵地址以及2007年的備份數據庫——後者含有用戶名稱、電郵地址和已加密儲存的密碼。

Reddit指黑客入侵了數位員工的帳戶,雖然系統要求雙重認證(2FA,又稱兩步驟驗證),但他們從中學到以SMS作認證「不像我們希望般安全」,黑客透過截取短訊成功入侵。

RTR3LFPE
Photo Credit: Robert Galbraith / REUTERS / 達志影像

雙重認證

用上雙重認證的系統,在用戶登入時除了要輸入密碼外,亦須以另一種方式確認身份,其中一種常見方法是系統傳SMS短訊給用戶,再由用戶輸入短訊內單次使用的驗證碼。雙重認證的好處在於,即使別人取得你的密碼,對方仍未能立即控制你的帳戶。

在2018年,所有人都應該使用雙重認證,讓帳戶多一重保障。不過Google的軟件工程師Grzegorz Milka在今年1月透露,即使Gmail引入雙重認證近7年,仍然只有不足一成的活躍帳戶使用雙重認證——假如你亦未啟用雙重認證,請看完這篇文章後立即更改設定。

雙重認證雖然好,然而以SMS短訊接收驗證碼其實沒有那麼安全——可能僅比不使用雙重認證安全——因為黑客已經學會取得驗證碼的方法。

控制你的手機號碼

雖然Reddit表示黑客用的方法是「截取SMS」,未有明確解釋,只提及有關員工的電話沒有被入侵,然而有數名安全專家認為,黑客實際上透過「SIM騎劫」(SIM hijacking)攻擊去控制帳戶。

要進行「SIM騎劫」,黑客首先要知道目標的電話號碼,再偽裝成目標前往電訊公司,訛稱丟失了SIM卡,要求把電話轉移至新的SIM卡上。雖然電訊公司職員會要求提供資料確認身份,但所需的資料通常不多,黑客可透過其他方法取得。

只要成功說服電訊公司職員把目標的電話號碼轉移至新SIM卡,黑客基本上成功控制了目標的電話號碼,收取短訊,受害人則無法再使用該號碼。現時不少網絡帳戶都會跟電話號碼連結,因此黑客可以控制受害人其他帳戶,甚至可以偷走其加密貨幣和銀行存款。

此外,電話網絡所用的訊息系統本身亦有其漏洞,容易入侵來竊聽、截取訊息或追蹤位置,這些情況下受害人甚至不會立即知道帳戶被盜。

驗證應用程式

既然啟用雙重認證是為了確保帳戶安全,自然不應再使用容易被黑客攻擊的SMS短訊收取驗證碼。目前不少網絡平台均有提供其他方法作雙重驗證,較簡單的是使用驗證應用程式,例如Authy、Duo Mobile及Google身份驗證器等。

Authy
Authy使用介面

安裝驗證應用程式後,先到帳戶設定啟用雙重認證,再選擇使用驗證程式——假如你已經啟用,但以短訊接收驗證碼的話,亦可修改驗證方法。這些時候,系統會顯示一個QR二維碼,只需要打開驗證應用程式,選擇「新增帳戶」再掃描一下,便能完成設定。設定好後,再次登入時只需要打開驗證程式,輸入相應的驗證碼便能夠登入(驗證碼會隨時間不斷改變)。

Google帳戶亦提供一種更方便的驗證方式——Google提示(Google Prompt)——啟用後,用戶登入時會其手機會顯示訊息,只要點一下確認身份便完成認證,較為方便快捷。

緊記設定後備方案

必須注意的是,驗證程式安裝在你的手機上,萬一遺失手機便無法再登入,因此設定使用驗證程式的同時,亦應該啟用備用驗證碼,讓系統產生多個單次使用的驗證碼,同樣可以用作雙重認證。這些驗證碼非常重要,需要儲存在安全地方。

另外,Facebook在「帳戶安全和登入」中容許用戶設定「帳戶被鎖住時能夠聯絡的朋友」,只要選上3至5位Facebook上的朋友,萬一忘了密碼、丟失手機時,只要用戶能聯絡這幾個人取得驗證碼,仍然可以重新登入帳戶。

當然,還是要設定好一個安全的密碼,而且不要在其他地方重複使用這個密碼。

相關文章︰

資料來源︰


猜你喜歡


年末壓軸不容錯過!線下大型開發者聚會「AWS Enterprise Dev Day」,精進企業雲端技術競爭力就在此刻

年末壓軸不容錯過!線下大型開發者聚會「AWS Enterprise Dev Day」,精進企業雲端技術競爭力就在此刻
Photo Credit:TNL Brand Studio

我們想讓你知道的是

AWS將於今年10月7日上午10:00舉辦線下開發者聚會AWS Enterprise Dev Day,以「技術開發」為活動主旨,透工作坊、講座形式,圍繞NET & Java現代應用、雲端服務、人工智慧等數位技術進行交流,精進企業雲端技術競爭力。

現今雲端已達到隨需可用的成熟度,企業該如何備戰自身技術力,了解透過雲端發展AI/ML應用、大數據分析、優化架構,並趁著新服務或新應用的契機嘗試上雲,或是將既有應用搬遷上雲,達到未來以更低成本有效管理內部資源及強化資安,並減少資源閒置,搭配現代化的方法論及工具保持未來彈性,在技術系統上達到永續經營。

AWS首次在台灣舉辦「AWS Enterprise Dev Day」,希望與企業交流如何在AWS上快速有效地遷移和現代化,以及針對希望了解開發、部署、管理現代應用程序的.NET與Java開發者介紹適合使用的工具和服務。

AWS Enterprise Dev Day活動特色

此次活動為首次為企業舉辦線下大型開發者聚會,為所有.NET與Java開發者量身打造的技術議程,以及同時從主管與開發者角色出發的活動內容設計,如有關於企業上雲挑戰、資安、現代化、開發、訓練考照等精彩內容。歡迎企業執行長、資安長、技術主管、及開發人員團隊立即報名,幫助您利用AWS雲端的廣度和規模,與眾多技術專家交流,持續保持自身企業在未來的即戰力!此外,本次活動全程錄影,報名參與者即可獲得AWS的演講內容。

最特別的是,此次活動下午場次採多軌分場的方式進行,屆時將有多場堂精選技術議程及實作上機工作坊,包含AWS熱門服務精華、方法論、最佳實踐、實戰分享等;而後續更將開放另外報名「.NET & Java現代應用開發實作工作坊」,帶您透過專業技術團隊支援及現場技術專家一對一諮詢,搭配實作課程與團隊協作解決實際技術難題,並與開發者技術同好現場即時互動交流。

立即點此報名「AWS Enterprise Dev Day」開發者技術盛宴!

本場開發者聚會將包含以下七大主題:

  1. NET & Java現代應用開發(.NET & Java Modern Application)
  2. 搬遷上雲(Migration)
  3. 無伺服器服務(Serverless)
  4. 容器服務(Containers)
  5. AI / ML人工智慧與機器學習(AI/ML)
  6. Data Analytics資訊安全(Security)(Security)
  7. 訓練考照(Training & Certificate)
1080x1080_02
Photo Credit:AWS

無論您是企業執行長、技術長、技術主管、資安相關人員、IT人員、解決方案架構師、開發人員、工程師或系統管理員,邀請您一同現場交流,藉此掌握現代開發趨勢、AWS的熱門雲端技術、平台與服務。

AWS Enterprise Dev Day活動資訊

1200x628
Photo Credit:AWS

日期:2022年10月7日(星期五)
時間:10:00 AM~3:30 PM
地點:南港展覽館二館 7F

立即點此報名「AWS Enterprise Dev Day」開發者技術盛宴!


猜你喜歡