保障帳戶安全,唔好用手機短訊做「雙重認證」

Kayue

8月1日,Reddit公布網站系統在6月中被黑客入侵,部分用戶資料被盜包括一些現有的電郵地址以及2007年的備份數據庫——後者含有用戶名稱、電郵地址和已加密儲存的密碼。

Reddit指黑客入侵了數位員工的帳戶,雖然系統要求雙重認證(2FA,又稱兩步驟驗證),但他們從中學到以SMS作認證「不像我們希望般安全」,黑客透過截取短訊成功入侵。

保障帳戶安全,唔好用手機短訊做「雙重認證」

雙重認證

用上雙重認證的系統,在用戶登入時除了要輸入密碼外,亦須以另一種方式確認身份,其中一種常見方法是系統傳SMS短訊給用戶,再由用戶輸入短訊內單次使用的驗證碼。雙重認證的好處在於,即使別人取得你的密碼,對方仍未能立即控制你的帳戶。

在2018年,所有人都應該使用雙重認證,讓帳戶多一重保障。不過Google的軟件工程師Grzegorz Milka在今年1月透露,即使Gmail引入雙重認證近7年,仍然只有不足一成的活躍帳戶使用雙重認證——假如你亦未啟用雙重認證,請看完這篇文章後立即更改設定。

雙重認證雖然好,然而以SMS短訊接收驗證碼其實沒有那麼安全——可能僅比不使用雙重認證安全——因為黑客已經學會取得驗證碼的方法。

控制你的手機號碼

雖然Reddit表示黑客用的方法是「截取SMS」,未有明確解釋,只提及有關員工的電話沒有被入侵,然而有數名安全專家認為,黑客實際上透過「SIM騎劫」(SIM hijacking)攻擊去控制帳戶。

要進行「SIM騎劫」,黑客首先要知道目標的電話號碼,再偽裝成目標前往電訊公司,訛稱丟失了SIM卡,要求把電話轉移至新的SIM卡上。雖然電訊公司職員會要求提供資料確認身份,但所需的資料通常不多,黑客可透過其他方法取得。

只要成功說服電訊公司職員把目標的電話號碼轉移至新SIM卡,黑客基本上成功控制了目標的電話號碼,收取短訊,受害人則無法再使用該號碼。現時不少網絡帳戶都會跟電話號碼連結,因此黑客可以控制受害人其他帳戶,甚至可以偷走其加密貨幣和銀行存款。

 

此外,電話網絡所用的訊息系統本身亦有其漏洞,容易入侵來竊聽、截取訊息或追蹤位置,這些情況下受害人甚至不會立即知道帳戶被盜。

驗證應用程式

既然啟用雙重認證是為了確保帳戶安全,自然不應再使用容易被黑客攻擊的SMS短訊收取驗證碼。目前不少網絡平台均有提供其他方法作雙重驗證,較簡單的是使用驗證應用程式,例如Authy、Duo Mobile及Google身份驗證器等。

保障帳戶安全,唔好用手機短訊做「雙重認證」

安裝驗證應用程式後,先到帳戶設定啟用雙重認證,再選擇使用驗證程式——假如你已經啟用,但以短訊接收驗證碼的話,亦可修改驗證方法。這些時候,系統會顯示一個QR二維碼,只需要打開驗證應用程式,選擇「新增帳戶」再掃描一下,便能完成設定。設定好後,再次登入時只需要打開驗證程式,輸入相應的驗證碼便能夠登入(驗證碼會隨時間不斷改變)。

Google帳戶亦提供一種更方便的驗證方式——Google提示(Google Prompt)——啟用後,用戶登入時會其手機會顯示訊息,只要點一下確認身份便完成認證,較為方便快捷。

緊記設定後備方案

必須注意的是,驗證程式安裝在你的手機上,萬一遺失手機便無法再登入,因此設定使用驗證程式的同時,亦應該啟用備用驗證碼,讓系統產生多個單次使用的驗證碼,同樣可以用作雙重認證。這些驗證碼非常重要,需要儲存在安全地方。

另外,Facebook在「帳戶安全和登入」中容許用戶設定「帳戶被鎖住時能夠聯絡的朋友」,只要選上3至5位Facebook上的朋友,萬一忘了密碼、丟失手機時,只要用戶能聯絡這幾個人取得驗證碼,仍然可以重新登入帳戶。

當然,還是要設定好一個安全的密碼,而且不要在其他地方重複使用這個密碼。

這篇文章來自

保障帳戶安全,唔好用手機短訊做「雙重認證」

你應該會有興趣看...

☞ 比特幣價格20個月內升近10倍,但他忘記了錢包密碼

☞ 利用通訊網絡漏洞 專家示範竊聽國會議員手機