現時很多社交媒體或網上服務的帳號,都提供了雙重認證登入(two-factor authentication, 2FA),顧名思義即是兩重的驗證,為帳號提供多一重保障,而當中涉及甚麼,以及如何運作?最重要是用戶是否需要它?不妨從下文中尋找答案。
甚麼是雙重認證?
簡單而言,就是同時利用複數的方法去核實權限,也被稱為多重認證,現時大多數的數碼服務都使用雙重認證,雖然使用更多重並不會帶來壞處,但通常都只採取兩重以免過度滋擾用戶。換句話說,2FA在帳號保護與登入的便利性之間取得平衡,但到底甚麼元素能確定用戶的登入權限?以下就是最常見的項目:
- 知識 — 如果持有正確密碼、密碼短語、數字代碼、圖形組合或回答秘密問題等,就能取得登入權限。
- 擁有權 — 如果持有特定物件(例如USB token、電話、銀行卡),都可以用來核實登入權限,當中也包括存取電話號碼或其他帳號(例如電郵),例子是一次性密碼。
- 永久特性 — 透過用戶的唯一特性,例如指紋、聲意、樣貌、DNA、瞳孔格局、鍵盤上獨特的打字風格等等。
- 地理位置 — 從用戶身處的位置來進行驗證,例如:如果登入存取公司的資源,就需要在公司辦公室內。
要令多重驗證成功,必需使用不同的核實方法,如果要求輸入兩組密碼,這並不能稱之為2FA。
雙重認證的重要性
現時大部份服務都建議使用多重認證,原因是每種認證的方法都有自己的弱點,例如就某些資訊的知識可以相當可靠,但只限於該資訊只有用戶自己知道,而其他人無法從其他地方取得情報,不過用戶始終需要轉入密碼然後經由互聯網傳送,又或者為了方便記住,把密碼儲存在某些地方,導致有機會被攔截和盜竊。更外,密碼也會在記錄在網上服務方,一旦發生資料外洩事故,而用戶在多個服務都使用相同密碼的話(很不幸,現實中很多人仍然如此),後果便是所有相關的帳號都有被入侵的風險。
其他方法例如需要持有鑰匙、電話或銀行卡,都有機會被盜,使用地理位置並無法確定任何事,因為在約位置內可能有很多人在內,暫時只有永久特性類別比較可靠,所以有時候他們被用作單一的登入認證,但當中仍然有不少細微分別。因此多重認證的概念是,能通過越多不同的元素的話那個人就越大機會是帳號的持有人。而雙重認證是個好主意是一方面讓服務供應商知道你是持有人,另一方面令帳號較難被入侵。
盡可能使用雙重認證
看完多重認證登入的優點,難免現時各大網上服務供應商都推行雙重認證登入,而我們也建議用戶:
- 服務供應商有提供雙重認證的話便應該啟動該認證
- 可能的話,使用認證器應用(authenticator)程式作為2FA的方法
- 如果沒有以上的選項,有其他的方法總比沒有雙重認證好
- 謹記2FA不能防範高質的網絡釣魚,所以每次輸入密碼前,確保自己在真實的網站
- 使用可靠的保安方案設有網絡釣魚防護
此外,我們建議設立強力的密碼組合,再透過密碼管理工具進行保護和管理。
資料來源:Kaspersky Blog
