兩步驟驗證真能保護我們的帳號不被盜嗎?

作者 | 發布日期 2017 年 07 月 13 日 22:57 | 分類 網路 , 資訊安全 , 軟體、系統 follow us in feedly

如何保護你的帳號安全?稍微懂一點網路安全的人都會建議你,開啟兩步驟驗證。兩步驟驗證,簡單說,就是在你輸入密碼後,要求你透過別的方式獲取一串驗證碼,來確保登入者是你。



的確,兩步驟驗證可以稱得上是個人資訊安全中最重要的一環,但也是被人接受最緩慢的一環。雖然各主流網站都提供這選項,但用戶往往需要費一番工夫才能找到對應的設定選項。因此,正式啟用這功能的用戶寥寥無幾。

▲ 比如蘋果的雙重認證就放在 Apple ID 選項內。(Source:蘋果

但是,隨著兩階段驗證逐步被大家接受、採用兩步驟驗證的站點增多,傳遞驗證碼的介質也變得多樣起來:有些網站使用簡訊、有些使用電子郵件,還有些利用像是 Google Authenticator 之類的軟體,更極端的用戶是採用加密狗來生成驗證碼。隨著這些驗證手段增多,就連專注於兩步驟驗證評測的網站 TwoFactorAuth 都分不清楚哪種驗證方式相對安全。

在接受 The Verge 採訪時,TwoFactorAuth 的負責人這樣說:

如果評估數百種兩步驟驗證服務(的安全系數)對我們來說已經很困難,我無法想像普通用戶面對它們的時候有多困惑。

在兩步驟驗證剛推出時,每個人都認為這是讓人放心的驗證方式。但到了 2014 年,越來越多駭客透過各種方式繞過驗證:有些是透過仿造 API token(像配了一把萬能鑰匙),有些是透過社會工程學騙取你的帳號恢復資訊,甚至還有些是透過電信公司,將受害者的驗證簡訊轉到自己的手機上。而這些駭客的攻擊往往圍繞著比特幣這一匿名貨幣展開,就在上個月,某企業家就因為 Verizon 客服的失職而損失了價值 8,000 美元的比特幣。

除了比特幣以外,根據 The Intercept 6 月的報導,俄羅斯在美國大選期間,已有辦法繞過兩步驟驗證,達到控制選舉人帳號的目的。在另一篇報導中,因為 Facebook 的流程設計缺陷,駭客可以輕而易舉地關閉已打開的兩步驟驗證。

▲ 美國國家安全局解密的俄羅斯的帳號竊取計畫。(Source:The Intercept

深究下去,讓兩步驟驗證不再安全的原因通常不是兩步驟驗證本身,而是那些恢復方案。在一般情況下,恢復方案是用於用戶不能接觸到兩步驗驟證裝置時採取的後備手段,就像你家大門的備用鑰匙。

在這些後備手段中,最難以攻破的薄弱點當屬電信公司。如果你可以透過電信公司將發送到指定號碼的資訊和電話轉發到你的裝置上,那麼你就可以繞過大部分的兩步驟驗證。甚至,對有些利用手機號碼登入的應用軟體來說,擁有手機號碼就相當於擁有帳號的所有權。

儘管美國國家標準技術研究所(NIST)在呼籲大家停止使用簡訊驗證,但很多科技公司仍然不為所動。畢竟,簡訊驗證是最方便簡單的兩步驟驗證方式。而對不太關心帳號安全的人來說,他們並不在意兩步驟驗證本身是否安全,他們只在乎自己的帳號是否受到保護。

現在,整個資安行業把目光投向威脅檢測(Threat Detection)這領域。系統透過檢測像機器特徵碼、用戶互動行為這些難以透過外力模仿的資訊,來判定該登入是否需要額外驗證。這系統從實質上來說,要比兩步驟驗證更可靠。

可惜的是,儘管業界可透過引入威脅檢測來增加帳號安全性,但除了開啟兩步驟驗證,用戶永遠無法直接感覺他的帳號到底多少程度上是安全的,也無法透過任何辦法加強保護帳號。

如何將威脅檢測具象化,讓用戶得以感覺到,將成為未來帳號保護技術發展的關鍵。

(本文由 愛范兒 授權轉載;首圖來源:Flickr/Blogtrepreneur CC BY 2.0)