FdB免费翻墙网

 

问：最近有保安专家发现Facebook母公司Meta的二步认证，居然可以透过暴力手段破解，虽然Meta已经将有关漏洞修补好，但由事件可见，任何透过互联网传递的二步认证码都可能出现问题，不知这个问题对日后大家使用二步认证码有甚么启示？FdB免费翻墙网

李建军：Meta这次被发现的二步认证漏洞，出现在电邮二步认证码传送。由于Meta之前未有防止用暴力破解，而Meta二步认证码只有六位数字，所以以现时的电脑和网络速度，如果黑客有国家政府支持，要知道二步认证码连结的格式，并不断用暴力方式传送不同的认证码试图撞入对方户口，是不难做到快速暴力破解。FdB免费翻墙网

一旦成功破译，这样受害者的电邮乃至Meta户口，就被黑客操纵而不自知。因此，不单短信的二步认证码有相当的风险，就连相对安全的电邮二步认证码，其实都开始出现保安问题，Meta纵使修补漏洞都只不过暂时解决问题。FdB免费翻墙网

问：二步认证目的本来是要加强保安，但为何从短信二步认证到电邮二步认证，都会出现保安问题呢？FdB免费翻墙网

李建军：二步认证码本质仍然是密码，将密码透过公开的网络传送，就会有被拦截的风险，逻辑就是如此简单。这也是现时各大公司开始淘汰短信二步认证的原因——因为短信传送的二步认证遭拦截已经越来越普遍。如果日后各公司开始淘汰电邮二步认证，都不会令人感到意外。要避免拦截的风险，使用不需要经过网络传送的二步认证机制，就是最安全可靠的做法。另外，目前而言，就算以电邮传送二步认证码，只要相关的算式未有漏洞可以被黑客拦截，基本上都是安全可靠。但长远而言，黑客向电邮二步认证下手是迟早的事。更何况，在电邮这个范畴，黑客有可能利用钓鱼电邮混淆视听，或用其他方法偷取电邮账户，这些都是长久存在的问题。FdB免费翻墙网

问：那有甚么二步认证方式，肯定不会经过网络传送？FdB免费翻墙网

李建军：现时主要有两个方法。第一是采用手机那些产生二步认证密码的App；第二是使用开始流行并成业界标准的各类硬件保安金钥。两者将能将整个二步认证过程中要使用到互联网通讯的机会减到最低。前者的逻辑是，只要用户作出妥善设定，之后认证过程中，只会需要输入并未经过互联网传送过，即时由手机产生的密码。至于保安金钥，则只需轻轻一按就完成整个程序，外间基本上不可能作出非物理拦截。后一种方法更胜前者的一点在于，它能使暴力破解，撞破密码的可能性都消除——因为保安金钥如何与网站沟通是浏览器去负责。FdB免费翻墙网

因此，为何业界普遍推介硬体保安金钥，亦正正因为它是安全性最高、最不可能被第三者拦截的二步认证方式。在此再次重申，二步认证要做到最高保安程度，就要尽量减少过程中涉及互联网通讯，因为只要越多涉及人机互动的互联网通讯部分，就容易被拦截或暴力破解。FdB免费翻墙网

问：Meta旗下Instagram在互联网的重要性越来越大，因为年青一代多数走向Instagram。而Instagram主要集中在手机上使用，于是有不少人贪方便，选择用手机短信作为Instagram的二步认证。其实手机上是不是很难配合实体金钥匙作二步认证的手段？FdB免费翻墙网

李建军：其实手机上用保安金钥都很方便，因为现时NFC的保安金钥已经支援主流使用NFC技术的手机。当然，如果你的手机不支援NFC保安金钥，例如你用iPhone的话，可以用支援Lightning插口的金钥；假如你用Android手机，支援Micro USB插口的保安金钥亦相当流行。因此，只要使用适合你手机的保安金钥，就算不支援NFC都会有足够的保护。FdB免费翻墙网

而且使用保安金钥作出二步认证，亦可以防止一旦手机被偷，黑客乘机骑劫你户口的情况——因为在攻破手机本身之馀，黑客还要取得保安金钥才能攻入下一步账户。FdB免费翻墙网

现在手机已经普及，何况在新一代保安技术支援下，手机转售难度越来越高。在中国或香港的情况，很多时盗匪未必志在手机本身，更多是在乎你手机内的资料，以及同手机关连的社交媒体户口资料。因此停用手机短信二步认证，改用保安金钥，能加强Instagram用家保安。FdB免费翻墙网