關於密碼的雙因素授權,你應該要知道的 5 件事

作者 | 發布日期 2016 年 04 月 22 日 7:54 | 分類 手機 , 網路 , 資訊安全 follow us in feedly

對於華人來說,詐騙無所不在,被盜帳號好像也成為一件稀鬆平常的事情。當你被盜帳號後,這時你才會知道兩步驟認證或是雙因素授權的好處。不過,你或許從來沒有注意過,這兩者有什麼不同,雙因素認證很多人都會誤以為它跟「兩步驟認證」是同一件事情,但這其實是一場誤會。



雙因素授權(two-factor authentication ),也有人翻譯成雙因素認證、雙重身分授權、雙重身分認證,有些人往往會將它跟兩階段認證(two-step verification)搞在一起,其實是錯誤的。雖然你不是密碼學專家,透過 Net Wrok World 這篇文章列出的 5 點,你可以清楚了解這項技術。

 

1. 雙因素授權(two-factor authentication )或是兩階段認證(two-step verification)?

很多人都認為它們是同一個東西,但事實上它們不是。

T客邦配圖

雖然大多數人都將授權與認證視為同一件事,如果你不是專門研究密碼學的人,將他們混為一談也無可厚非。不過,在定義上,授權,就是要確認是由「你」這個人所發出的,要怎麼在電腦上辨認出是「你」,這個授權必須要有唯一性,不會與其他人重複到。目前我們有 3 種授權方式:

  • 一種是你已經知道的,例如密碼或 PIN;
  • 一種是你已經有的,例如手機或特殊的 USB 鑰匙;
  • 一種是你與生俱來的,例如指紋或其他特徵。

雙因素授權(two-factor authentication ),就是結合了兩種不同的授權方式,而兩階段認證,則是兩次都使用相同的授權方式。

例如,你可以透過郵件或簡訊來發送密碼等。 或許你認為手機驗證碼會是另一種授權方式,但是事實上這些都是屬於單因素授權。原因在於,簡訊並不安全,且密碼也很容易被截獲,從安全角度來看的話,這種兩種方式的安全性是類似的。

因此,雙因素授權會比兩階段認證更安全,這是可以確定的。不過,使用兩階段認證,還是要比單一的密碼認證要安全的多,這也是事實。

 

2. 一個帳號走天下

在所有的網路帳號中,最應該保護的是你的電子郵件信箱,不但因為電子郵件信箱包含了你的私人郵件,更重要的是很多網路服務都會要求你用電子郵件信箱登入,並且利用這個信箱來重設密碼。

T客邦配圖

因此,一個老練的駭客入侵了你的郵件信箱後,將可以搜尋你過去註冊過的郵件,從中找到你有多少個帳號,它就可以透過這些資訊重設你的各種網路服務密碼。因此,從你的電子郵件信箱開始,設定雙因素授權(two-factor authentication ),或者兩階段認證(two-step verification),都是不錯的安全開始。

 

3. 已完成。然後呢?

如果你有使用密碼管理工具等網路服務,那麼這是你下一個要進行雙因素授權的地方。很多受歡迎的密碼管理工具,都會有雙因素授權的選項。

接下來,再其次就是在你常去的網站開始啟用雙因素授權。很多的網站服務都會支援雙因素授權,包括 Facebook、Twitter、Apple ID、iCloud、亞馬遜、Paypal、LinkedIn、Snapchat 和 WordPress.com 等。

 

4. 該不該將裝置識別為「可信任的裝置」

大多數雙因素授權的網站都允許用戶在第一次使用網路服務時,網站或該服務會跳出一個訊息,問你是否要「將裝置識別為可信任的裝置」?

T客邦配圖

如果你答應了,這會使得這一台受信任的裝置不受雙因素授權的影響,下一次當你在該裝置上登入這個服務時,只需要輸入密碼就可以。

對於使用者來說,這當然非常方便,但是卻也有一定的安全隱憂。如果你在這款信任的裝置上關閉了雙因素授權,這就使得駭客可以輕鬆地盜取你的訊息,因此對於這一點也要時刻注意。

不僅如此,當你遺失了你的電腦或手機時,你也無法確定獲得手機或電腦的人是否可以找到方法來解鎖你的帳戶。幸運的是,大多數網站都會讓用戶選擇是否移除對之前裝置的信任,這在裝置遺失的時候非常重要。

 

5. 我有可能把自己「搞丟」了嗎?

在大多數情況下,你的手機將會是你的雙因素授權的中心。在很多情況下,我們需要利用手機來接收驗證碼,或者透過特殊的 App 來產生驗證碼,例如 Google 身分驗證器(Google Authenticator)。

但是,手機也是最容易遺失或損壞的裝置。這時,你是不是就也把自己給「搞丟」了呢?

T客邦配圖

幸好,大多數的網路服務都有對應的緊急計畫。一些公司允許你使用備用號碼來進行恢復你的帳號,比方說你可以指定你的朋友、親人的手機號碼,來當作這個備用號碼。另外,比較少數的網路服務公司,則會讓你可以多設一組備用密碼,讓你在需要的時候透過這個密碼來恢復帳號。

如果你記憶力特別差,或是駭客特別厲害,上述方法都無效,那麼你只能用最原始的辦法,打客服電話或發郵件去向網路服務公司的技術人員尋求協助。但是,前提是你必須要向他們證明「你就是你」。這些客服人員可能會問你一些只有你知道的訊息,確認你的身分。但也有一些網路服務公司的客服沒有那麼勤快,甚至不是那麼注重客服的公司,面對這些公司,你就只有自求多福了。

(本文由 T客邦 授權轉載;首圖來源:shutterstock) 

發表迴響