雙重認證,有必要嗎?
你是否和我一樣,在很多網頁和 app 上都有註冊帳號,每次登入時,光是回想密碼就覺得很麻煩?
身為平凡老百姓,覺得自己才沒什麼被駭客盯上的理由,長期以來帳戶內容也一直保存良好,為何還要為了提高帳戶安全性,再使用雙重認證,徒增自己困擾?
這世界,哪有這麼危險!
況且,臨床工作可不是坐辦公室,我常需在不同電腦上登入帳號、查看資料,臨床行政流程已經夠繁瑣了,可別再找自己麻煩了!
直到那一天,友人 FB 帳號無預警被盜,聽聞他的經驗,冒了一身冷汗後才瞬間學乖,立刻為自己的 Google、FB…等帳號加鎖,設下雙重驗證。
(慘案記錄:臉書被盜怎麼辦?── 如何取回被盜的 Facebook 帳號教學文)
後來,跟曾任職趨勢科技核心技術部門的工程師朋友 S 聊起這件事,對方十分震驚。
「什麼,你平常竟然沒設雙重認證?哇你真的是『完完全全』沒有資安概念耶!你沒有看過駭客嗎?噢我的天啊!」S 說。
「對呀~為什麼我會看過駭客?」
「噢拜託!你對駭客的想像力真的很薄弱,薄弱到竟然可以認為它不存在耶!」S 幾乎要氣急攻心。
S 平覆情緒後,無奈地向我「資教」了帳號登入的四種安全等級。
內容很棒,分享給你。
帳號登入,可大致分為四種安全等級:
1️⃣ 僅憑密碼登入,沒有二階段認證
登入帳號,有幾種方式。大家最熟悉的就是只用密碼登入。這最方便,卻也最容易被盜帳號。
只要對方改你的密碼、改你的備用信箱、改你的XX,你就沒帳號了!而且即使後續費一輪工,帳號也不見得拿得回來。
2️⃣ 密碼登入 + 電信公司簡訊/語音認證
輸入密碼後,還要在手機上查收簡訊,輸入一次性密碼(SMS 之 OTP)才能登入,夠安全了吧?
很抱歉,以前夠,但現在已經不夠了!
美國國家標準技術研究所,早在 2016 年數位身分認證指南,便建議企業不要再透過電信系統,以「簡訊」或「電話語音」執行二次驗證。駭客技術日新月異,早就有行動裝置惡意軟體可以攔截簡訊 OTP,所以一次性密碼已不再安全。
(參:透過簡訊執行二次驗證不再安全,美國國家標準技術研究所建議別再使用)
「基本上到這邊,簡訊認證不安全這件事,就已經殺死一票人了!」
「很多人忘記密碼,要還原登入時都會用這招,但你要想 ── 今天當你忘記密碼時,取回密碼的方式愈簡單,我駭客要盜你帳號就愈簡單,你資料就愈沒有保障!」
那怎麼辦?
使用更安全的二階段認證。
3️⃣ 密碼登入 + 信箱收認證碼
輸入密碼後,還要開啟登入信箱或開啟信箱 App,雖然可能比直接看簡訊畫面輸入驗證碼再麻煩一點點,但可以算得上是安全了。
可惜的是,安全程度仍然有限。採取這方式的風險 = 你原網站密碼被盜的機率 × 信箱被盜的機率。
如果想再更安全一些,就要安裝專門為二階段認證開發出的 App。
4️⃣ 密碼登入 + 二階段認證 App / 實體加密裝置
市面上找得到許多二階段認證 (Two Factor Authentication, 2FA) 軟體,包含 Authy / Google Authenticator / Microsoft Authenticator / Duo Security / Okta ……等。
你可能納悶,2FA 不也是和簡訊和信箱一樣,收取一次性驗證碼後輸入嗎?憑什麼就比較安全了?
這是因為,簡訊、信箱、2FA App 傳送認證碼的過程,安全等級不同。
簡訊最不安全,前文已提及。
信箱其次,因為信箱是透過 https 傳輸,資料存在雲端。只要資料放在雲端,就無法保證安全。
那 2FA 呢?
2FA 的原理,是先透過 https 傳輸協定傳送一次「暗號 (secret key)」,之後根據這個暗號,生成出對應的驗證碼。由於驗證碼具有時效性,所以 2FA 安全性高。
「以你的安全層級,我覺得用 Authy 就夠了!但如果你想進一步提升安全等級,連鑰匙都不想要用 https 傳,那你可以買實體的裝置,例如 YubiKey。」
「當然還可以再進一步安全啦,例如如果要跨裝置備份,Authy 就會把你的 secret key 加密,存在 Authy 雲端上,再給你一個 backup key,就是原本的鑰匙再加一次鑰匙;實體裝置如 YubiKey 的話,備份方法就是兩把 YubiKey。總之,就是不斷降低你帳號被盜的機率。」
聽到這,腦袋是不是快要爆炸了?
結語
長久以來,一直以為自己的「平民帳號」對駭客來說沒什麼價值,駭客才沒那麼無聊,要駭也要駭更重要的帳號。然而,這觀念被工程師朋友狠狠駁斥。
「唉你真的太傻了!你以為盜帳號一定要人工,不能自動化嗎?你以為自己帳號被盜,因為裡面沒什麼重要資料,駭客就沒辦法拿它來犯罪,自己也只要重辦一個就好嗎?No~不然詐騙集團是怎麼找跳板的?有聽過網路洗錢嗎?」
即使你是一般人,也需重視自己帳號是否安全。
帳號安全可粗分為 4 種等級:
1️⃣ 僅憑密碼登入,沒有二階段認證
2️⃣ 密碼登入 + 電信公司簡訊/語音認證
3️⃣ 密碼登入 + 信箱收認證碼
4️⃣ 密碼登入 + 二階段認證 App / 實體加密裝置
其中前兩項不及格,第三項勉強及格,第四項的安全等級才真正夠。
為自己的重要帳戶加上雙重認證吧!
可至 本文臉書 交流分享