電腦手機網絡安全(三):二步認證的驗證因素
文:薯伯伯
之前提到要為 SIM 卡上鎖及二步認證,兩個方法是最為基礎的網絡保安措施,實行起來也相對簡單,所以先行在前面兩篇文章介紹了。但要強調,即使鎖上了 SIM 卡及用了二步認證,還是有風險,其中脆弱的環節,是 SIM 卡的安全問題。例如在 2018 年,美國著名網站 Reddit 一批員工的戶口被盜,入侵者是在沒有取得受害者手機的情況下,騎劫了 SIM 卡。
所謂「SIM 卡騎劫」,方法很多,例如冒充卡主打電話去電訊公司,申請更換 SIM 卡,又或者要求電訊公司解鎖電話卡。而大部份電訊公司對用戶的認證,既要顧及客人觀感,又要顧及私隱保安,確是兩難。我有一位做客戶服務的朋友說,卡主登記人是女性,但如果有人用男人的老牛聲打上台,只要對方說自己是女人,他們也不能質疑,否則可能成為公關災難。
就算不用打上台冒充卡主,還有不同的方式去攔截 SMS,上網搜查 SMS interception,即能搜到一大堆示範片段及方法。所以,使用二步認證雖然較為安全,但若然用了較不可靠的驗證因素,便會削弱二步認證的保護力量。
那麼,我們應該如何選擇二步認證的驗證因素呢?常見的驗證因素(factor),包括了以下三類:
一,手機短訊
二,軟件認證
三,硬件認證
軟件認證,就是在手機下載一個專門的動態密碼產生器,即 authenticator,每分鐘也會顯示一組六位數字的驗證碼。操作的情況是,不論在手機或電腦登錄二步認證的網站,先輸入戶口本身的密碼,再在手機上打開動態密碼產生器,取得六位驗證碼,再輸入到網站,才能登入。
動態密碼的手機軟件,最常用的是 Google Authenticator,但這個軟件本身沒有上鎖功能,萬一別人取得你手機的開機密碼,就能進入,感覺還是不太可靠。我推介另一款,叫 Lastpass Authenticator,可設置六位的開啟密碼,Lastpass 本身也是另一家非常有名氣的密碼保安公司,使用起來更覺安心。
具體的設置方式如下,只以 Google 戶口做例子:
先在手機下載 Lastpass Authenticator,地址在: https://lastpass.com/auth/ 免費的(如果要備份,需另外付費,但其實不備份也可以)。
之後用手機或桌面電腦的瀏覽器:
1. 登錄 https://myaccount.google.com/security 並輸入密碼。
2. 選擇「兩步驗證」。
3. 重新輸入 Google 的戶口密碼。
4. 選擇「Authenticator 應用程式」
5. 選擇 Android 或 iPhone,按下一步,出現二維條碼。
6. 在手機上打開 Lastpass Authenticator 的 app,按右下方「+」號,選擇 Scan Barcode,再掃一掃上一步驟顯示的二維條碼。
7. 用手機掃完二維碼之後,在瀏覽器中的二維碼畫面,按「下一頁」。
8. 在瀏覽器中輸入 Lastpass Authenticator 顯示的六位數字驗證碼,再按「驗證」。
9. 完成。
(以上步驟,其實按著電腦或手機上畫面的指引去做,可能更為容易。)
其他戶口,例如 Facebook、Dropbox 等,也可以類似的方式註冊,但 Apple ID 不支援這個硬件鑰匙的驗證方式。
* * *
之前介紹了手機短訊,以及軟件認證,那麼還有一個方式,即硬件認證。所謂硬件認證,即「安全金鑰」,就是一隻 USB 手指(也有 NFC 無線介面)。操作的情況是,當你用電腦上的瀏覽器登錄戶口時,輸入戶口密碼後,要插入「安全金鑰」,再用手指摸一摸上面的金屬圈,這樣才能登錄網站。
其中最廣為人知的「安全金鑰」,是 Yubico 的出品,官方網站是:https://www.yubico.com/
網站上有多種產品,眼花瞭亂,選擇上,第一個應該考慮的,是你的桌面電腦用 USB-A 還是 USB-C 的接口。至於無線 NFC 或 iPhone 的 Lightning 插頭(尤其 Lightning 插頭,支援實在太少),有點雞肋,可有可無。
如果你用的是 MacBook/PC 及 iPhone,我較為推介的款式,是:
YubiKey 5 Nano(HK$ 390)
YubiKey 5C Nano(HK$ 470)
YubiKey 5C(HK$ 390)
至於 YubiKey 5Ci(HK$ 550),雖然多了一個 Lightning 插頭,但目前支援的軟件太少,有點雞肋。至於 Android 用戶,因為不太肯定實際的支援情況,在此就不詳述了,有經驗的讀者,請在評論區裡分享一下看法。
另外,要留意不是所有瀏覽器也支援使用 YubiKey,支援的瀏覽器包括 Firefox, Chrome, Opera,但是 Safari 則不支援。如果你本身是習慣用 Safari,即使不是因為 YubiKey,其實基於保安及私隱考慮,也建議儘早改用 Firefox。
* * *
購買這類安全產品,跟買安全套一樣,理論上是要避免使用中介渠道或集運公司,因為理論上越多中間人,那麼理論上就越大機會被人做手腳。其中一種做手腳的方式,是企圖入侵的人,把金鑰裡的物理序列號偷偷記錄,並之後用其他方式去產生密鑰。強調是「理論上」,因為估計實行起來,也非容易,太多顧慮,聽起來好像又太多疑,但既然說到網絡安全,當然要在各個可行的層面,也儘量做好防範的措施。例如萬一你的鑰匙被人偷走,非法扣留,又或是買回來的時候包裝已經打開,就最好不用。
在 Yubico 的官方網站,查看各地的代理名單,在香港有一個官方認可以的代理,是:Netmon Information Systems,地址是:觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ,建議在辦公時間先打電話去查詢存貨量。
* * *
另外,不少人喜歡把手機號碼作為二步認證的其中一個驗證因素,這個用起來雖然方便,但如果你本身已經有軟件認證的 Authenticator 應用程式,又或是硬件認證的安全金鑰,不妨考慮把手機認證這個因素移除,又或是加上可靠朋友的手機號碼做認證。在 Google 的戶口,也可以考慮把 Google Prompt 關掉,至於備用驗證碼,也建議寫在安全的地方,例如告訴可靠的朋友,沒必要放在家裡或身上。
登入戶口當然麻煩了,但謹記一點,如果你總是不用做任何登入步驟,就能自動進入戶口,代表的不只是方便,還有漏洞。
———
照片:幾部老爺智能手機,是 Treo 系列,分別是 650 及 680,都算是我用過的手機裡,最讓人懷念,但又完全不想再重用的智能手機,攝於 2010 年 5 月。
———
* 想追看薯伯伯的文章,請設定本 Page 為「搶先看 / See First」*
Instagram 🥑🥭🍉🍌: pazu
新博客:http://pazu.com/blog
另外還要提一提大家:
【新書速報】Pazu 薯伯伯《不正常旅行研究所》(白卷出版社)——從西藏拉薩到神州大地;由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。
在旺角序言、北角森記、誠品書店及各大書店,均有代售!其中在旺角序言及北角森記,有少量簽名版本。
Search