電腦手機網絡安全(三):二步認證的驗證因素
文:薯伯伯
之前提到要為 SIM 卡上鎖及二步認證,兩個方法是最為基礎的網絡保安措施,實行起來也相對簡單,所以先行在前面兩篇文章介紹了。但要強調,即使鎖上了 SIM 卡及用了二步認證,還是有風險,其中脆弱的環節,是 SIM 卡的安全問題。例如在 2018 年,美國著名網站 Reddit 一批員工的戶口被盜,入侵者是在沒有取得受害者手機的情況下,騎劫了 SIM 卡。
所謂「SIM 卡騎劫」,方法很多,例如冒充卡主打電話去電訊公司,申請更換 SIM 卡,又或者要求電訊公司解鎖電話卡。而大部份電訊公司對用戶的認證,既要顧及客人觀感,又要顧及私隱保安,確是兩難。我有一位做客戶服務的朋友說,卡主登記人是女性,但如果有人用男人的老牛聲打上台,只要對方說自己是女人,他們也不能質疑,否則可能成為公關災難。
就算不用打上台冒充卡主,還有不同的方式去攔截 SMS,上網搜查 SMS interception,即能搜到一大堆示範片段及方法。所以,使用二步認證雖然較為安全,但若然用了較不可靠的驗證因素,便會削弱二步認證的保護力量。
那麼,我們應該如何選擇二步認證的驗證因素呢?常見的驗證因素(factor),包括了以下三類:
一,手機短訊
二,軟件認證
三,硬件認證
軟件認證,就是在手機下載一個專門的動態密碼產生器,即 authenticator,每分鐘也會顯示一組六位數字的驗證碼。操作的情況是,不論在手機或電腦登錄二步認證的網站,先輸入戶口本身的密碼,再在手機上打開動態密碼產生器,取得六位驗證碼,再輸入到網站,才能登入。
動態密碼的手機軟件,最常用的是 Google Authenticator,但這個軟件本身沒有上鎖功能,萬一別人取得你手機的開機密碼,就能進入,感覺還是不太可靠。我推介另一款,叫 Lastpass Authenticator,可設置六位的開啟密碼,Lastpass 本身也是另一家非常有名氣的密碼保安公司,使用起來更覺安心。
具體的設置方式如下,只以 Google 戶口做例子:
先在手機下載 Lastpass Authenticator,地址在: https://lastpass.com/auth/ 免費的(如果要備份,需另外付費,但其實不備份也可以)。
之後用手機或桌面電腦的瀏覽器:
1. 登錄 https://myaccount.google.com/security 並輸入密碼。
2. 選擇「兩步驗證」。
3. 重新輸入 Google 的戶口密碼。
4. 選擇「Authenticator 應用程式」
5. 選擇 Android 或 iPhone,按下一步,出現二維條碼。
6. 在手機上打開 Lastpass Authenticator 的 app,按右下方「+」號,選擇 Scan Barcode,再掃一掃上一步驟顯示的二維條碼。
7. 用手機掃完二維碼之後,在瀏覽器中的二維碼畫面,按「下一頁」。
8. 在瀏覽器中輸入 Lastpass Authenticator 顯示的六位數字驗證碼,再按「驗證」。
9. 完成。
(以上步驟,其實按著電腦或手機上畫面的指引去做,可能更為容易。)
其他戶口,例如 Facebook、Dropbox 等,也可以類似的方式註冊,但 Apple ID 不支援這個硬件鑰匙的驗證方式。
* * *
之前介紹了手機短訊,以及軟件認證,那麼還有一個方式,即硬件認證。所謂硬件認證,即「安全金鑰」,就是一隻 USB 手指(也有 NFC 無線介面)。操作的情況是,當你用電腦上的瀏覽器登錄戶口時,輸入戶口密碼後,要插入「安全金鑰」,再用手指摸一摸上面的金屬圈,這樣才能登錄網站。
其中最廣為人知的「安全金鑰」,是 Yubico 的出品,官方網站是:https://www.yubico.com/
網站上有多種產品,眼花瞭亂,選擇上,第一個應該考慮的,是你的桌面電腦用 USB-A 還是 USB-C 的接口。至於無線 NFC 或 iPhone 的 Lightning 插頭(尤其 Lightning 插頭,支援實在太少),有點雞肋,可有可無。
如果你用的是 MacBook/PC 及 iPhone,我較為推介的款式,是:
YubiKey 5 Nano(HK$ 390)
YubiKey 5C Nano(HK$ 470)
YubiKey 5C(HK$ 390)
至於 YubiKey 5Ci(HK$ 550),雖然多了一個 Lightning 插頭,但目前支援的軟件太少,有點雞肋。至於 Android 用戶,因為不太肯定實際的支援情況,在此就不詳述了,有經驗的讀者,請在評論區裡分享一下看法。
另外,要留意不是所有瀏覽器也支援使用 YubiKey,支援的瀏覽器包括 Firefox, Chrome, Opera,但是 Safari 則不支援。如果你本身是習慣用 Safari,即使不是因為 YubiKey,其實基於保安及私隱考慮,也建議儘早改用 Firefox。
* * *
購買這類安全產品,跟買安全套一樣,理論上是要避免使用中介渠道或集運公司,因為理論上越多中間人,那麼理論上就越大機會被人做手腳。其中一種做手腳的方式,是企圖入侵的人,把金鑰裡的物理序列號偷偷記錄,並之後用其他方式去產生密鑰。強調是「理論上」,因為估計實行起來,也非容易,太多顧慮,聽起來好像又太多疑,但既然說到網絡安全,當然要在各個可行的層面,也儘量做好防範的措施。例如萬一你的鑰匙被人偷走,非法扣留,又或是買回來的時候包裝已經打開,就最好不用。
在 Yubico 的官方網站,查看各地的代理名單,在香港有一個官方認可以的代理,是:Netmon Information Systems,地址是:觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ,建議在辦公時間先打電話去查詢存貨量。
* * *
另外,不少人喜歡把手機號碼作為二步認證的其中一個驗證因素,這個用起來雖然方便,但如果你本身已經有軟件認證的 Authenticator 應用程式,又或是硬件認證的安全金鑰,不妨考慮把手機認證這個因素移除,又或是加上可靠朋友的手機號碼做認證。在 Google 的戶口,也可以考慮把 Google Prompt 關掉,至於備用驗證碼,也建議寫在安全的地方,例如告訴可靠的朋友,沒必要放在家裡或身上。
登入戶口當然麻煩了,但謹記一點,如果你總是不用做任何登入步驟,就能自動進入戶口,代表的不只是方便,還有漏洞。
———
照片:幾部老爺智能手機,是 Treo 系列,分別是 650 及 680,都算是我用過的手機裡,最讓人懷念,但又完全不想再重用的智能手機,攝於 2010 年 5 月。
———
* 想追看薯伯伯的文章,請設定本 Page 為「搶先看 / See First」*
Instagram 🥑🥭🍉🍌: pazu
新博客:http://pazu.com/blog
另外還要提一提大家:
【新書速報】Pazu 薯伯伯《不正常旅行研究所》(白卷出版社)——從西藏拉薩到神州大地;由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。
在旺角序言、北角森記、誠品書店及各大書店,均有代售!其中在旺角序言及北角森記,有少量簽名版本。
「手機驗證碼產生器」的推薦目錄:
- 關於手機驗證碼產生器 在 Pazu 薯伯伯 Facebook 的精選貼文
- 關於手機驗證碼產生器 在 哪裡好吃哪裡去:神秘的水原誠 Facebook 的最佳解答
- 關於手機驗證碼產生器 在 Kk3c狂想曲 Facebook 的精選貼文
- 關於手機驗證碼產生器 在 [請問] 如何透過中國手機號碼,取得知乎的發問權限- 看板ask 的評價
- 關於手機驗證碼產生器 在 #求救有什麼方法可以用虛擬手機收到驗證碼 - 3C板 | Dcard 的評價
- 關於手機驗證碼產生器 在 什麼是代碼產生器?運作方式為何? | Facebook 使用說明 的評價
- 關於手機驗證碼產生器 在 手機號碼產生器收簡訊台灣在PTT/Dcard完整相關資訊 - 星星公主 的評價
- 關於手機驗證碼產生器 在 手機號碼產生器收簡訊台灣在PTT/Dcard完整相關資訊 - 星星公主 的評價
- 關於手機驗證碼產生器 在 手機版的Facebook App也可以搞定FB的帳號安全哦! 的評價
- 關於手機驗證碼產生器 在 臉書帳號安全Facebook Security - 觀察筆記- 痞客邦 的評價
- 關於手機驗證碼產生器 在 臉書代碼產生器– 收不到臉書簡訊的替代方案 的評價
- 關於手機驗證碼產生器 在 Facebook App 安全更新!從手機就能控管臉書帳戶安全 的評價
- 關於手機驗證碼產生器 在 [教學] 如何使用Google Authenticator 配合Facebook 兩階段 ... 的評價
- 關於手機驗證碼產生器 在 開啟Facebook 兩步驟驗證,避免密碼被偷、帳號被盜用! 的評價
- 關於手機驗證碼產生器 在 虛擬電話號碼(門號),接收海外各國手機簡訊 - YouTube 的評價
手機驗證碼產生器 在 哪裡好吃哪裡去:神秘的水原誠 Facebook 的最佳解答
上星期才入手這個新玩具"ARH PASS帳密保護器" 本來要早點分享的, 不過由於臨時又去了一趟柬埔寨出差 所以就推遲了... 不過, 也正巧驗證了當初入手時所希望解決問題與應用! 對於水哥來說, 由於工作的緣故需要管理許多系統 但這種比較重要的東西, 帳號密碼自然不可能像是一般個人資料設定的單純 對一般人來講, 最常用的可能就是生日, 紀念日或是身分證, 學號之類 所以也就常聽到說誰誰誰的Facebook還是Line被盜帳號...QQ, 微信被盜的也時有所聞 而工作上的重要資訊 我想用這類的密碼保護器也就更無可厚非 畢竟像是q!u7ff@gdv&jqw17df9fw0這種一長串又沒有規律的密碼應該是沒有幾個人可能背起來的XD 更何況有些人還是用亂數產生器去產生呢= =" 而這個ARH PASS帳密產生器, 是由新竹的鐳揚創智科技(Rayalala)所研發 據說是已經得到專利 從包裝盒上精簡的外觀就能感受到工程師思維的設計感 目前一共有藍紅黑三種顏色可以選擇呢! 簡約的包裝, 並沒有太多技術性的說明 不過對於一般消費者來講可能會需要多說明些會比較好 打開來後就這樣 一張說明書以及一個帳密保護器 上面再蓋著一層防層的透明塑膠殼 如果是不同顏色就是把中間那塊換成不同顏色 上方設計了手機吊飾的孔 方便你連接到手機或者鎖匙圈之類的地方 重量上十分輕巧, 包含電池也僅僅約16g而已 背面則是電池蓋 打開後就能看到內含一顆CR2032的電池 據說採用這款電池的原因是因為方便取得 也的確啦, 像是便利商店也僅僅只要50元有找的價格囉 不過你也不用擔心會需要常常更換電池 據官方表示, 只有連線時會需要用到電, 基本上一顆電池至少可以撐一年半 而且就算沒電也不用擔心資料遺失, 只要去買一顆電池回來換就好唷! [ 37 more words ]
http://mshw.info/mshw/?p=12518
手機驗證碼產生器 在 Kk3c狂想曲 Facebook 的精選貼文
Facebook 雙重驗證保護我們的帳號不被盜用!
雙重驗證有什麼好處呢?好處就是當有其他人試圖要登入我們FB帳號時,FB就會在第一時間通知我們有人想闖入,如果你是換手機或是有其他電腦或平板第一次想登入自己的FB帳號時可以透過代碼產生器來通過設定,文中艾倫都會跟大家分享。
手機驗證碼產生器 在 #求救有什麼方法可以用虛擬手機收到驗證碼 - 3C板 | Dcard 的推薦與評價
因為辦帳號需要手機,我用手機號碼產生器的手機附上去,結果跟我說要驗證碼想請問有什麼網頁是提供虛擬手機又可以拿到認證碼的呢? ... <看更多>
手機驗證碼產生器 在 什麼是代碼產生器?運作方式為何? | Facebook 使用說明 的推薦與評價
代碼產生器是一種搭配Facebook 應用程式使用的安全性功能,用於進行雙重驗證。開啟此功能後,若您嘗試從新裝置或瀏覽器登入,您的手機會產生一組專屬安全代碼供您用於 ... ... <看更多>
手機驗證碼產生器 在 [請問] 如何透過中國手機號碼,取得知乎的發問權限- 看板ask 的推薦與評價
我目前已經有知乎的帳號,但是要在知乎發問時,說要用中國的手機號碼來認證,
我當然沒有中國的手機號碼,所以我就GOOGLE中國手機號碼產生器,不過GOOGLE了
半天都是找到不能用的號碼,或是收不到簡訊的認證碼,就開通不了發問的權限,
請問有使用知乎發問功能的鄉民,你們是怎麼做的呢?要如何取得可以用的中國手機號碼
並順利取得簡訊認證碼呢?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.167.40.206 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/ask/M.1629101505.A.571.html
然後按「發送驗證碼」,確定驗證法發送後,再回到手機號碼List頁面按下「打開簡訊」,
但是都沒有收到簡訊
請問樓上可以講一下你的操作方法嗎?
https://bit.ly/3g8BniH
一個可用的手機號碼跟認證碼要90元
不知道這樣算貴還是不貴@@
※ 編輯: TKB5566 (1.167.40.14 臺灣), 08/17/2021 16:03:52
... <看更多>