多重安全防護
雙重驗證功能可提升使用者的線上安全,而 Google 帳戶提供多種雙重驗證方式。
.
萬一資料遭竊,受害者可能會寢食難安。例如曾有不知名的攻擊者盜用他人帳戶,並以受害者的名義在社群媒體上做亂或寄送詐欺電子郵件,有些受害者是線上銀行帳戶存款遭竊。通常使用者都是在損害造成之後,才驚覺自己的帳戶遭駭。
資料竊取事件之所以一再發生,是因為大多數人過於仰賴密碼保護自己的上網安全。使用者並不知道有一種線上清單包含了數百萬種使用者名稱和密碼的組合。專家將這類清單稱為「密碼傾印」,是由大量資料竊取成功案例所取得的資料組合而成。許多使用者會將密碼用在許多地方,因此即使他們的 Google 帳戶並未真正遭盜用,其帳戶登入資料也會列在這些「密碼傾印」清單上。另一種持續存在的威脅是網路釣魚,也就是透過看似值得信賴的電子郵件或網站,試圖騙取密碼和其他資訊的詐欺行為。
這就是為什麼 Google 等公司會建議使用者透過雙重驗證功能保護自己的線上帳戶。登入帳戶時,使用者必須完成兩種不同的驗證方式,例如提供密碼加上簡訊驗證碼。這種驗證方法現在非常普遍,尤其銀行和信用卡公司的服務。
安全專家將安全驗證方式分為三種基本類型。第一種驗證方式是提供個人資訊 (也就是「你知道的資訊」),例如要求使用者輸入透過簡訊收到的驗證碼或回答安全性問題。第二種是插入用來驗證的實體物品 (也就是「你擁有的東西」),例如信用卡。第三種是提供生物辨識資料 (也就是「只有自己才有的特徵」),例如用指紋解鎖智慧型手機螢幕。所有雙重驗證策略都會混用以上其中兩種驗證方式。
Google 提供多種雙重驗證方式。除了傳統密碼之外,使用者在登入帳戶時可以輸入單次有效的安全碼,也就是透過簡訊或語音通話接收的安全碼,或是透過 Android 或 iOS 裝置上的 Google Authenticator 應用程式產生安全碼。此外,Google 帳戶中也可加入自己信任的裝置。如果使用者登入不在該清單上的裝置,就會收到 Google 的安全性警示。
過去三年來,Google 使用者也可選擇安全金鑰這類實體安全權杖登入帳戶。如要在不屬於上述清單中的裝置上登入帳戶,可以插入這類 USB、NFC 或藍牙 Dongle。這項程序是以 FIDO 聯盟開發的通用第二要素 (U2F) 開放驗證標準為依據。除了 Google 以外,Microsoft、Mastercard 和 PayPal 等公司也是這個聯盟的一份子。使用者只要支付一小筆費用,就能向各家製造商購買以 U2F 標準為依據的安全權杖。事實證明,安全金鑰是非常成功的驗證方式,自從推出安全金鑰後,資料遭竊的風險已大幅降低。雖然理論上駭客可以從世界任何地方入侵線上帳戶,但只要使用實體安全權杖,駭客除了要取得帳戶的登入詳細資料,還必須拿到實體安全權杖才能得逞。目前除了 Google 以外,也有許多公司支援這類安全權杖
。當然,雙重驗證功能還是有缺點。如果以簡訊驗證碼做為登入驗證方式,使用者要透過新裝置登入帳戶時,就必須使用原本的手機;驗證用的 USB 和藍牙 Dongle 也可能會遺失。不過,這些問題都可以克服。考慮到這些驗證機制帶來的額外保障,這確實是值得承擔的風險。假如安全金鑰遺失,使用者可從帳戶中移除遺失的權杖,再加入新的權杖。另一種做法是一開始就註冊第二個安全金鑰,放在安全的地方保管。
詳情請見 g.co/2step
插圖:Birgit Henne