你是不是總以為自己不會遇到駭客？ ── 為何要使用雙重認證

陳和謙

Published in

走在通往理想的路上

5 min readNov 15, 2022

雙重認證，有必要嗎？

你是否和我一樣，在很多網頁和 app 上都有註冊帳號，每次登入時，光是回想密碼就覺得很麻煩？

身為平凡老百姓，覺得自己才沒什麼被駭客盯上的理由，長期以來帳戶內容也一直保存良好，為何還要為了提高帳戶安全性，再使用雙重認證，徒增自己困擾？

這世界，哪有這麼危險！

況且，臨床工作可不是坐辦公室，我常需在不同電腦上登入帳號、查看資料，臨床行政流程已經夠繁瑣了，可別再找自己麻煩了！

直到那一天，友人 FB 帳號無預警被盜，聽聞他的經驗，冒了一身冷汗後才瞬間學乖，立刻為自己的 Google、FB…等帳號加鎖，設下雙重驗證。

（慘案記錄：臉書被盜怎麼辦？── 如何取回被盜的 Facebook 帳號教學文）

後來，跟曾任職趨勢科技核心技術部門的工程師朋友 S 聊起這件事，對方十分震驚。

「什麼，你平常竟然沒設雙重認證？哇你真的是『完完全全』沒有資安概念耶！你沒有看過駭客嗎？噢我的天啊！」S 說。
「對呀～為什麼我會看過駭客？」
「噢拜託！你對駭客的想像力真的很薄弱，薄弱到竟然可以認為它不存在耶！」S 幾乎要氣急攻心。

S 平覆情緒後，無奈地向我「資教」了帳號登入的四種安全等級。

內容很棒，分享給你。

Photo by Christina @ wocintechchat.com on Unsplash

帳號登入，可大致分為四種安全等級：

1️⃣ 僅憑密碼登入，沒有二階段認證

登入帳號，有幾種方式。大家最熟悉的就是只用密碼登入。這最方便，卻也最容易被盜帳號。

只要對方改你的密碼、改你的備用信箱、改你的XX，你就沒帳號了！而且即使後續費一輪工，帳號也不見得拿得回來。

2️⃣ 密碼登入 + 電信公司簡訊／語音認證

輸入密碼後，還要在手機上查收簡訊，輸入一次性密碼（SMS 之 OTP）才能登入，夠安全了吧？

很抱歉，以前夠，但現在已經不夠了！

美國國家標準技術研究所，早在 2016 年數位身分認證指南，便建議企業不要再透過電信系統，以「簡訊」或「電話語音」執行二次驗證。駭客技術日新月異，早就有行動裝置惡意軟體可以攔截簡訊 OTP，所以一次性密碼已不再安全。

（參：透過簡訊執行二次驗證不再安全，美國國家標準技術研究所建議別再使用）

「基本上到這邊，簡訊認證不安全這件事，就已經殺死一票人了！」
「很多人忘記密碼，要還原登入時都會用這招，但你要想 ── 今天當你忘記密碼時，取回密碼的方式愈簡單，我駭客要盜你帳號就愈簡單，你資料就愈沒有保障！」

那怎麼辦？

使用更安全的二階段認證。

3️⃣ 密碼登入 + 信箱收認證碼

輸入密碼後，還要開啟登入信箱或開啟信箱 App，雖然可能比直接看簡訊畫面輸入驗證碼再麻煩一點點，但可以算得上是安全了。

可惜的是，安全程度仍然有限。採取這方式的風險 = 你原網站密碼被盜的機率 × 信箱被盜的機率。

如果想再更安全一些，就要安裝專門為二階段認證開發出的 App。

4️⃣ 密碼登入 + 二階段認證 App / 實體加密裝置

市面上找得到許多二階段認證 (Two Factor Authentication, 2FA) 軟體，包含 Authy / Google Authenticator / Microsoft Authenticator / Duo Security / Okta ……等。

你可能納悶，2FA 不也是和簡訊和信箱一樣，收取一次性驗證碼後輸入嗎？憑什麼就比較安全了？

這是因為，簡訊、信箱、2FA App 傳送認證碼的過程，安全等級不同。

簡訊最不安全，前文已提及。

信箱其次，因為信箱是透過 https 傳輸，資料存在雲端。只要資料放在雲端，就無法保證安全。

那 2FA 呢？

2FA 的原理，是先透過 https 傳輸協定傳送一次「暗號 (secret key)」，之後根據這個暗號，生成出對應的驗證碼。由於驗證碼具有時效性，所以 2FA 安全性高。

「以你的安全層級，我覺得用 Authy 就夠了！但如果你想進一步提升安全等級，連鑰匙都不想要用 https 傳，那你可以買實體的裝置，例如 YubiKey。」
「當然還可以再進一步安全啦，例如如果要跨裝置備份，Authy 就會把你的 secret key 加密，存在 Authy 雲端上，再給你一個 backup key，就是原本的鑰匙再加一次鑰匙；實體裝置如 YubiKey 的話，備份方法就是兩把 YubiKey。總之，就是不斷降低你帳號被盜的機率。」

聽到這，腦袋是不是快要爆炸了？