多重安全防護

雙重驗證功能可協助使用者進一步保護自身線上安全,而 Google 帳戶提供了多種雙重驗證方式

資料一旦遭竊,受害者常常會因此寢食難安。例如曾經有不知名的攻擊者盜用他人帳戶,並以受害者的名義在社群媒體上做亂或寄送詐欺電子郵件,還有其他受害者的線上銀行帳戶存款因此遭竊。通常使用者都是在損害造成之後,才驚覺自己的帳戶遭駭。

資料竊取事件之所以一再發生,是因為絕大多數的使用者過於仰賴密碼保護自己的上網安全。使用者並不知道有一種線上清單包含了數百萬種使用者名稱和密碼的組合。專家將這類清單稱為「密碼傾印」,這類清單是由大量竊取而得的資料所組合而成。許多使用者會將密碼用於多種用途,因此即使他們的 Google 帳戶並未真正遭盜用,其帳戶登入資料也會列在這些「密碼傾印」清單中。另一種持續存在的威脅則是網路釣魚,也就是透過看似值得信賴的電子郵件或網站,試圖騙取密碼和其他資訊的詐欺行為。

這就是為什麼 Google 和其他公司會建議使用者透過雙重驗證功能保護自己的線上帳戶。登入帳戶時,使用者必須完成兩種不同的驗證方式,例如提供密碼和透過簡訊收到的驗證碼。這種驗證方法現在非常普遍,特別常用於銀行和信用卡公司的服務。

安全性專家將安全性驗證方式分為三種基本類型。第一種驗證方式是提供個人資訊 (也就是「你知道的資訊」),例如要求使用者輸入透過簡訊收到的驗證碼或回答安全性問題。第二種驗證方式是使用可用於驗證的實體物品 (也就是「你擁有的東西」),例如信用卡。第三種驗證方式是提供生物特徵辨識資料 (也就是「只有自己才有的特徵」),例如智慧型手機使用者以自己的指紋解鎖螢幕。所有雙重驗證策略都會混用以上其中兩種驗證方式。

Google 提供了多種雙重驗證方式。除了使用傳統密碼之外,使用者在登入帳戶時也可以輸入一次性安全碼。使用者可以透過簡訊或語音通話接收安全碼,也可以在 Android 裝置或 Apple 行動作業系統 iOS 裝置上的 Google Authenticator 應用程式產生安全碼。此外,使用者也可以在 Google 帳戶中加入自己信任的裝置。如果使用者嘗試透過不在該清單上的裝置登入,就會收到 Google 的安全性警示。

過去三年來,Google 也讓使用者選擇使用安全金鑰這類實體安全性權杖登入帳戶。如要在不屬於上述清單中的裝置上登入帳戶,可以插入這類 USB、NFC 或藍牙 Dongle。這項程序是以 FIDO 聯盟開發的通用第二因子 (Universal 2nd Factor, U2F) 開放驗證標準為依據。除了 Google 以外,Microsoft、Mastercard 和 PayPal 等公司也是這個聯盟的一份子。使用者只要支付一小筆費用,就能向各家製造商購買以 U2F 標準為依據的安全性權杖。事實證明,安全金鑰是非常成功的驗證方式,自從推出安全金鑰後,資料遭竊的風險已經大幅降低。雖然理論上駭客可以從世界任何地方入侵線上帳戶,但只要使用實體安全權杖,駭客除了要取得帳戶的登入詳細資料,還必須拿到實體安全權杖才能得逞。目前除了 Google 以外,也有許多公司支援這類安全性權杖。

當然,雙重驗證功能並非沒有缺點。如果使用者以簡訊驗證碼做為驗證方式,當使用者要透過新裝置登入帳戶時,就必須使用原本的手機才能登入。此外,使用者也可能會遺失 USB 和藍牙 Dongle。不過,這些問題並不是無法克服。考慮到這些驗證機制帶來的額外安全保障,這確實是值得承擔的風險。假如使用者遺失安全金鑰,可以從帳戶中移除遺失的權杖,然後加入新的權杖。另一種做法是在一開始使用時就註冊第二個安全金鑰,並放在安全的地方。

如要瞭解詳情,請前往:g.co/2step

插圖來源:Birgit Henne

資訊安全

瞭解跟世界上其他公司相比,Google 如何保障更多使用者的線上安全。

瞭解詳情