如果您一生的一半時間都在互聯網上度過,有些人可能已經告訴過您,但您絕對需要切換到雙重身份驗證,這種技術包括驗證密碼,例如通過短信或安全密鑰發送代碼。為了什麼 ?因為如今,密碼已不足以確保存取線上服務的安全性。
駭客可以使用數十種技術來侵入您的個人帳戶。他們可能會向您發送虛假電子郵件,誘騙您在虛假表格中輸入憑證。當您透過安全性較差的公共 Wi-Fi 熱點進行連線時,他們也可能會嘗試攔截它們。或者他們可能會向您發送隱藏在 Android 應用程式中的木馬。
資料大量洩露
駭客還可以直接從服務提供者保護不力的伺服器竊取您的密碼。雅虎用戶對此深有體會。去年,該入口網站透露,它在 2013 年管理的 30 億個帳戶全部被盜。haveibeenpwned.com看到憑證盜竊已成為一種常見的做法。該網站引用了 277 個網站上近 50 億個被盜的標識符,其中不包括雅虎的識別符。它讓你頭暈。
這種固有的密碼弱點是眾所周知的。製造商也許有一天會成功取代這種陳舊的身份驗證方法。最近獲得的FIDO2技術W3C 的奉獻,是一個可信的候選人。但其採用可能仍需時。同時,避免落入駭客手中的唯一解決方案是雙重身分驗證。確實,即使你的密碼落入他們手中,對他們來說也沒有任何用處,因為這不足以登入。
有些人可能會告訴您雙重身份驗證很複雜且不太實用。這是事實,因為使用第二個因素必然會減慢連接過程。但我們失去的舒適感,卻在很大程度上得到了安全感。此外,您不需要進行全面的雙重身分驗證。您只需為最關鍵的服務實施它即可。
優先考慮訊息、雲端和社交網絡
第一個要保護的帳戶是電子郵件帳戶,它們通常用作重設其他服務密碼的最後手段。因此,成功入侵電子郵件帳戶的駭客可以存取其他資源。還需要優先保護的帳戶包括社交媒體帳戶和雲端帳戶,以避免身分盜用和資料外洩。最後,如果可能的話,最好為網路銀行啟用雙重認證。
但那該怎麼辦呢?這取決於提供者,因為他們有責任使其服務與市場上的不同解決方案互通。一個很好的提示:如果您的電子郵件提供者不提供此類選項,請尋找其他地方。就主要網路品牌而言,它們都提供一種或多種雙重身分驗證方法。最簡單的實作方式之一就是一次性程式碼。在每次連線時,使用者輸入密碼,然後透過另一種方式接收只能使用一次的代碼。
對於 Google 服務,您必須使用 Google Authenticator 行動應用程式。對於微軟服務來說,它是——你猜到了嗎? –微軟身份驗證器。這些應用程式必須先透過掃描二維碼等方式與帳戶關聯。然後,他們產生代碼以定期使用。該系統稱為“TOTP”,即“基於時間的一次性密碼”。
優點是這些應用程式還可以用於其他線上服務。因此,完全可以使用 Google Authenticator 來保護您對 LastPass、Slack、Amazon Web Services、Facebook 和 ProtonMail 等的存取。其他應用程式也這樣做,例如奧蒂或者雙核移動。
另一方面,在蘋果,不需要應用程序,行動裝置就足夠了(iPhone、iPad)。每次嘗試登入 iCloud 或 Apple ID 時,使用者都會直接透過 iOS 系統收到一次性使用代碼。
就 Twitter 而言,它依靠其行動應用程式向用戶發送此類程式碼。 Facebook 提供多種雙重身分驗證選項。除了一次性代碼的應用之外,社交網路還提供透過簡訊接收代碼或連接安全密鑰的服務。
最後一種情況有點像是雙重身份驗證的終極方法。該領域最知名的玩家是 Yubico,他擁有一系列安全金鑰。他們提供了多種方法,例如 TOTP 一次性代碼或標準U2F。但也有其他供應商,例如新波或者鑰匙ID。由你決定。