2FA — 比密码更安全的保护

04.23.2020  - 作者  在 安全性

在家工作自实施以来以迈入第二个月,远端工作人员必须保护自己免受因远端工作,以及诈骗者利用人们对 COVID-19 的不安,所产生的安全威胁,因此保持帐户的安全变得更加重要。

在上週的文章中,我们提到如何挑选一组强壮的密码,并以单一依靠密码作为安全保护是一失败的主张作结。TOTP(一次性验证码)以及 U2F(通用第二因素)是两种双因素身份验证的形式,它们可以在密码安全不足的情况下,保护您的帐户免受安全风险。

但什麽是双因素身份验证,以及为什麽它比密码来的更安全呢?

双 “因素”

至此,我们都对于使用密码去登入线上帐户非常地熟悉,无论是电子邮件、社交媒体,还是银行的线上帐户。原因很明显。如果有人想要访问您的个人资讯,或者想要透过注册商的网站访问您的域名,他们只需要取得您的用户名称,甚至只要取得您的电子邮件地址,就可以窃取您的域名或个人数据。当您输入您的密码,您就等同于对自己的身份进行认证,而这只是证明您的身份的另一种方式。密码是一种 “因素”。

密码能够提供安全性,因为它是基于一个只有您一个人知道的概念被设计出来。第二个因素则是透过添加其它类型的资讯,以证明您就是本人的身份:可能是您拥有的东西或是关于您的事物。

这实际上并非一个新的想法。当您去 ATM 要登入您的银行帐户时,您不只需要提款卡(您拥有的东西,也就是第一因素),还需要您的 PIN 码(您知道的密码,也就是第二因素)。在这种情况下,如果某人取得您的提款卡,但没有您的密码 – 或是某人知道您的密码,却没有您的提款卡 – 他们还是无法窃取您帐户中的钱财。只有同时拥有这两个因素的人,才有办法登入您的银行帐号并取得您的钱财。

一次性密码

在线上,要用第二种形式或证明您身份的方式来增加帐户密码安全的一种方法是使用一次性密码。当您使用您的使用者名称和密码登入时,必须先输入其它的密码或验证码才能够继续登入。最简单的方式是透过电子邮件或是手机简讯将验证码或密码寄给您,以证明您有访问您的电子邮件或手机的权限。

当然,这些讯息也有可能被中途拦截,电话号码和电子邮件可能会遭到解密破坏。另一个进阶的选项是使用一次性的密码(或是 TOTP)。它使用一种秘密算法,该算法会根据当前的时间,每隔几秒钟就生成一次新密码。如此一来,可以确保您每次登入帐户时使用的都是独一无二的密码。

而这就是我们在 Gandi 帐户内提供的第一个双因素身份验证的选项。了解更多关于如何在 Gandi 帐户上使用一次性密码(TOTP)的资讯

通用第二因素

然而,一次性密码有一个缺陷,那就是它们无法免于受到网路钓鱼或中间人攻击的影响。钓鱼是指假冒的网站看起来像真实网站一样,诱骗您向其提供您的用户名称,密码和一次性密码。中间人攻击也是类似网路钓鱼,只是较不常见。就像是有人窃听您一样。您没有意识到,但确实有人在听。即使使用基于时间的一次性密码,即使在不太可能的情况下,监听或伪造网站的人也可能在您输入密码的时候取得您的密码。

此解决方案旨在使用公钥加密 – 与网站上使用 https 的加密方法相同 – 以确保用户在正确的网站上使用正确的密码,而没有任何中间人介入其中。这就称为双因素认证或 U2F。

U2F 安全金钥

U2F 的另一项好处是,在整个过程中都使用了硬体 USB 密钥。密钥的使用方式如同所有 USB 装置,将其插入 USB 端口,然后它就会自动与您的浏览器通讯,以验证您正在尝试登入的连结。这就好像拥有一把实体的房门钥匙(您甚至可以把它放在钥匙圈上),所以它不只更安全,它也更加方便。在使用 U2F 时,您不需要打字,也因此不会有错别字的问题,而且您也不用担心您的帐户因为找不到手机而被锁定。

U2F 处于安全性的最前端。想了解如何在您 Gandi 的帐户上进行相关设定,请点选连结查看更多内容