電腦手機網絡安全(三):二步認證的驗證因素
文:薯伯伯
之前提到要為 SIM 卡上鎖及二步認證,兩個方法是最為基礎的網絡保安措施,實行起來也相對簡單,所以先行在前面兩篇文章介紹了。但要強調,即使鎖上了 SIM 卡及用了二步認證,還是有風險,其中脆弱的環節,是 SIM 卡的安全問題。例如在 2018 年,美國著名網站 Reddit 一批員工的戶口被盜,入侵者是在沒有取得受害者手機的情況下,騎劫了 SIM 卡。
所謂「SIM 卡騎劫」,方法很多,例如冒充卡主打電話去電訊公司,申請更換 SIM 卡,又或者要求電訊公司解鎖電話卡。而大部份電訊公司對用戶的認證,既要顧及客人觀感,又要顧及私隱保安,確是兩難。我有一位做客戶服務的朋友說,卡主登記人是女性,但如果有人用男人的老牛聲打上台,只要對方說自己是女人,他們也不能質疑,否則可能成為公關災難。
就算不用打上台冒充卡主,還有不同的方式去攔截 SMS,上網搜查 SMS interception,即能搜到一大堆示範片段及方法。所以,使用二步認證雖然較為安全,但若然用了較不可靠的驗證因素,便會削弱二步認證的保護力量。
那麼,我們應該如何選擇二步認證的驗證因素呢?常見的驗證因素(factor),包括了以下三類:
一,手機短訊
二,軟件認證
三,硬件認證
軟件認證,就是在手機下載一個專門的動態密碼產生器,即 authenticator,每分鐘也會顯示一組六位數字的驗證碼。操作的情況是,不論在手機或電腦登錄二步認證的網站,先輸入戶口本身的密碼,再在手機上打開動態密碼產生器,取得六位驗證碼,再輸入到網站,才能登入。
動態密碼的手機軟件,最常用的是 Google Authenticator,但這個軟件本身沒有上鎖功能,萬一別人取得你手機的開機密碼,就能進入,感覺還是不太可靠。我推介另一款,叫 Lastpass Authenticator,可設置六位的開啟密碼,Lastpass 本身也是另一家非常有名氣的密碼保安公司,使用起來更覺安心。
具體的設置方式如下,只以 Google 戶口做例子:
先在手機下載 Lastpass Authenticator,地址在: https://lastpass.com/auth/ 免費的(如果要備份,需另外付費,但其實不備份也可以)。
之後用手機或桌面電腦的瀏覽器:
1. 登錄 https://myaccount.google.com/security 並輸入密碼。
2. 選擇「兩步驗證」。
3. 重新輸入 Google 的戶口密碼。
4. 選擇「Authenticator 應用程式」
5. 選擇 Android 或 iPhone,按下一步,出現二維條碼。
6. 在手機上打開 Lastpass Authenticator 的 app,按右下方「+」號,選擇 Scan Barcode,再掃一掃上一步驟顯示的二維條碼。
7. 用手機掃完二維碼之後,在瀏覽器中的二維碼畫面,按「下一頁」。
8. 在瀏覽器中輸入 Lastpass Authenticator 顯示的六位數字驗證碼,再按「驗證」。
9. 完成。
(以上步驟,其實按著電腦或手機上畫面的指引去做,可能更為容易。)
其他戶口,例如 Facebook、Dropbox 等,也可以類似的方式註冊,但 Apple ID 不支援這個硬件鑰匙的驗證方式。
* * *
之前介紹了手機短訊,以及軟件認證,那麼還有一個方式,即硬件認證。所謂硬件認證,即「安全金鑰」,就是一隻 USB 手指(也有 NFC 無線介面)。操作的情況是,當你用電腦上的瀏覽器登錄戶口時,輸入戶口密碼後,要插入「安全金鑰」,再用手指摸一摸上面的金屬圈,這樣才能登錄網站。
其中最廣為人知的「安全金鑰」,是 Yubico 的出品,官方網站是:https://www.yubico.com/
網站上有多種產品,眼花瞭亂,選擇上,第一個應該考慮的,是你的桌面電腦用 USB-A 還是 USB-C 的接口。至於無線 NFC 或 iPhone 的 Lightning 插頭(尤其 Lightning 插頭,支援實在太少),有點雞肋,可有可無。
如果你用的是 MacBook/PC 及 iPhone,我較為推介的款式,是:
YubiKey 5 Nano(HK$ 390)
YubiKey 5C Nano(HK$ 470)
YubiKey 5C(HK$ 390)
至於 YubiKey 5Ci(HK$ 550),雖然多了一個 Lightning 插頭,但目前支援的軟件太少,有點雞肋。至於 Android 用戶,因為不太肯定實際的支援情況,在此就不詳述了,有經驗的讀者,請在評論區裡分享一下看法。
另外,要留意不是所有瀏覽器也支援使用 YubiKey,支援的瀏覽器包括 Firefox, Chrome, Opera,但是 Safari 則不支援。如果你本身是習慣用 Safari,即使不是因為 YubiKey,其實基於保安及私隱考慮,也建議儘早改用 Firefox。
* * *
購買這類安全產品,跟買安全套一樣,理論上是要避免使用中介渠道或集運公司,因為理論上越多中間人,那麼理論上就越大機會被人做手腳。其中一種做手腳的方式,是企圖入侵的人,把金鑰裡的物理序列號偷偷記錄,並之後用其他方式去產生密鑰。強調是「理論上」,因為估計實行起來,也非容易,太多顧慮,聽起來好像又太多疑,但既然說到網絡安全,當然要在各個可行的層面,也儘量做好防範的措施。例如萬一你的鑰匙被人偷走,非法扣留,又或是買回來的時候包裝已經打開,就最好不用。
在 Yubico 的官方網站,查看各地的代理名單,在香港有一個官方認可以的代理,是:Netmon Information Systems,地址是:觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ,建議在辦公時間先打電話去查詢存貨量。
* * *
另外,不少人喜歡把手機號碼作為二步認證的其中一個驗證因素,這個用起來雖然方便,但如果你本身已經有軟件認證的 Authenticator 應用程式,又或是硬件認證的安全金鑰,不妨考慮把手機認證這個因素移除,又或是加上可靠朋友的手機號碼做認證。在 Google 的戶口,也可以考慮把 Google Prompt 關掉,至於備用驗證碼,也建議寫在安全的地方,例如告訴可靠的朋友,沒必要放在家裡或身上。
登入戶口當然麻煩了,但謹記一點,如果你總是不用做任何登入步驟,就能自動進入戶口,代表的不只是方便,還有漏洞。
———
照片:幾部老爺智能手機,是 Treo 系列,分別是 650 及 680,都算是我用過的手機裡,最讓人懷念,但又完全不想再重用的智能手機,攝於 2010 年 5 月。
———
* 想追看薯伯伯的文章,請設定本 Page 為「搶先看 / See First」*
Instagram 🥑🥭🍉🍌: pazu
新博客:http://pazu.com/blog
另外還要提一提大家:
【新書速報】Pazu 薯伯伯《不正常旅行研究所》(白卷出版社)——從西藏拉薩到神州大地;由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。
在旺角序言、北角森記、誠品書店及各大書店,均有代售!其中在旺角序言及北角森記,有少量簽名版本。
「電話號碼產生器驗證碼」的推薦目錄:
- 關於電話號碼產生器驗證碼 在 Pazu 薯伯伯 Facebook 的最讚貼文
- 關於電話號碼產生器驗證碼 在 COMPOTECHAsia電子與電腦 - 陸克文化 Facebook 的最佳解答
- 關於電話號碼產生器驗證碼 在 威彼- 台灣虛擬電話手機號碼產生器接收簡訊驗證碼平台夠讓 ... 的評價
- 關於電話號碼產生器驗證碼 在 #求救有什麼方法可以用虛擬手機收到驗證碼 - 3C板 | Dcard 的評價
- 關於電話號碼產生器驗證碼 在 虛擬電話號碼產生器2023-在Facebook/IG/Youtube上的焦點 ... 的評價
- 關於電話號碼產生器驗證碼 在 虛擬電話號碼產生器2023-在Facebook/IG/Youtube上的焦點 ... 的評價
- 關於電話號碼產生器驗證碼 在 免費註冊中國電話號碼| 海外華人都可以註冊| 教你輕鬆接收短信 ... 的評價
電話號碼產生器驗證碼 在 COMPOTECHAsia電子與電腦 - 陸克文化 Facebook 的最佳解答
#通訊 #汽車電子 #車聯網IoV #專用短距通訊DSRC #802.11p #LTE-V #公共安全回應點PSAP #量測 #頻譜分析儀 #訊號產生器 #高頻雷達
【車聯網是否可信賴?挺過壓力測試再說!】
專為 V2X 車輛聯外網路而生的專用短距通訊 (DSRC),雖然皆以 IEEE 802.11p 為底蘊,但從射頻 (RF)、協定、法規到測試場域的驗證仍十分繁雜。美國交通部為落實 2017 年後所生產之小型車須強制安裝車載通訊設備的法令,正積極進行互通測試;而歐盟/俄羅斯亦力推 eCall / ERA GRONOSS 服務——當車載感測器 (如:安全氣囊) 察覺重大車禍,汽車會自動撥打標準的急救電話到公共安全回應點 (PSAP),並傳送位置、車輛號碼及時間等資訊。
一旦緊急通報訊息傳送後,系統將會在通報中心操作人員和車上乘客之間建立語音通道以確認其狀況。上述皆以現有的 GSM 及 WCDMA 技術為基礎,如何依訊號密集度換手 (handover)、控制通道是重點所在。採用完整網路模擬器和模擬 PSAP 軟體工具的測試儀,可配合防護系統、GPS 模組、車載感測器與雷達系統協作;配合頻譜分析儀、訊號產生器或通用無線測試儀可做整套壓力測試與情境測試,確保元件可靠度,並模擬、複現各種突發狀況。
目前車聯網的傳輸規格主要有 802.11p 及 LTE-V 兩種,其中 DSRC 較早被提出且被美國採用,並已由美國運輸部統籌建立測試場域與規則;藉由兩次 plugfest 進行相關驗證,在系統驗證上已有一定成熟度;相對來說,建立在電信網路基礎上的 3GPP LTE-V 就稍晚了一步,但中國車載訊息服務產業應用聯盟 (TIAA) 日前與韓國 SKT、KT、LG 公司及多個汽車產業組織在 LTE- V2X 初步達成合作意向後,聲勢看漲。奧迪、寶馬、戴姆勒等歐洲車廠亦對 LTE-V 表達高度興趣。
整體而言,802.11p 覆蓋範圍小,適用於市區等人口密集處部署;反觀高速公路、郊區或鄉村等大區域範圍,3GPP LTE-V 可能會是較佳的傳輸方案。在實際上路測試時,需考慮到通道衰減與干擾對「待測物傳輸速率」造成的影響。過去進行相關測試需尋找適合的環境場景,且諸多不確定變數可能左右測試結果;透過「通道衰減模擬器」(RFCM) 控制程式設定,可協助用戶模擬、確認在設計好的不同通道衰減下對傳輸速率的影響,確保通訊品質。
延伸閱讀:
《Anritsu:802.11p、LTE-V 各有所歸,情境描述見實力》
http://compotechasia.com/a/____/2017/0811/36357.html
(點擊內文標題即可閱讀全文)
#安立知Anritsu #MS2830A #通道衰減模擬器RFCM #MS2760A #KEYCOM
★★【智慧應用開發論壇】(FB 不公開社團:https://www.facebook.com/groups/smart.application/) 誠邀各界擁有工程專業或實作經驗的好手參與討論,採「實名制」入社。申請加入前請至 https://goo.gl/forms/829J9rWjR3lVJ67S2 填寫基本資料,以利規劃議題方向;未留資料者恕不受理。★★
電話號碼產生器驗證碼 在 #求救有什麼方法可以用虛擬手機收到驗證碼 - 3C板 | Dcard 的必吃
因為辦帳號需要手機,我用手機號碼產生器的手機附上去,結果跟我說要驗證碼想請問有什麼網頁是提供虛擬手機又可以拿到認證碼的呢? ... <看更多>
電話號碼產生器驗證碼 在 虛擬電話號碼產生器2023-在Facebook/IG/Youtube上的焦點 ... 的必吃
1 如何收发中国手机短信验证码? 2 国外虚拟手机号码资源; 3 免责声明; 4 生成手机号码加好友效果如何? 電話號碼產生器- Jex. ... <看更多>
電話號碼產生器驗證碼 在 威彼- 台灣虛擬電話手機號碼產生器接收簡訊驗證碼平台夠讓 ... 的必吃
台灣虛擬電話手機號碼產生器接收簡訊驗證碼平台夠讓使用者在網路上使用該網站所提供的網頁與臺灣手機號碼(+886),並用來接收簡訊、驗證碼和其他相關 ... ... <看更多>