2FA — 比密碼更安全的保護

04.23.2020  - 作者  在 安全性

在家工作自實施以來以邁入第二個月,遠端工作人員必須保護自己免受因遠端工作,以及詐騙者利用人們對 COVID-19 的不安,所產生的安全威脅,因此保持帳戶的安全變得更加重要

在上週的文章中,我們提到如何挑選一組強壯的密碼,並以單一依靠密碼作為安全保護是一失敗的主張作結。TOTP(一次性驗證碼)以及 U2F(通用第二因素)是兩種雙因素身份驗證的形式,它們可以在密碼安全不足的情況下,保護您的帳戶免受安全風險。

但什麼是雙因素身份驗證,以及為什麼它比密碼來的更安全呢?

雙 “因素”

至此,我們都對於使用密碼去登入線上帳戶非常地熟悉,無論是電子郵件、社交媒體,還是銀行的線上帳戶。原因很明顯。如果有人想要訪問您的個人資訊,或者想要透過註冊商的網站訪問您的域名,他們只需要取得您的用戶名稱,甚至只要取得您的電子郵件地址,就可以竊取您的域名或個人數據。當您輸入您的密碼,您就等同於對自己的身份進行認證,而這只是證明您的身份的另一種方式。密碼是一種 “因素”。

密碼能夠提供安全性,因為它是基於一個只有您一個人知道的概念被設計出來。第二個因素則是透過添加其它類型的資訊,以證明您就是本人的身份:可能是您擁有的東西或是關於您的事物。

這實際上並非一個新的想法。當您去 ATM 要登入您的銀行帳戶時,您不只需要提款卡(您擁有的東西,也就是第一因素),還需要您的 PIN 碼(您知道的密碼,也就是第二因素)。在這種情況下,如果某人取得您的提款卡,但沒有您的密碼 – 或是某人知道您的密碼,卻沒有您的提款卡 – 他們還是無法竊取您帳戶中的錢財。只有同時擁有這兩個因素的人,才有辦法登入您的銀行帳號並取得您的錢財。

一次性密碼

在線上,要用第二種形式或證明您身份的方式來增加帳戶密碼安全的一種方法是使用一次性密碼。當您使用您的使用者名稱和密碼登入時,必須先輸入其它的密碼或驗證碼才能夠繼續登入。最簡單的方式是透過電子郵件或是手機簡訊將驗證碼或密碼寄給您,以證明您有訪問您的電子郵件或手機的權限。

當然,這些訊息也有可能被中途攔截,電話號碼和電子郵件可能會遭到解密破壞。另一個進階的選項是使用一次性的密碼(或是 TOTP)。它使用一種秘密算法,該算法會根據當前的時間,每隔幾秒鐘就生成一次新密碼。如此一來,可以確保您每次登入帳戶時使用的都是獨一無二的密碼。

而這就是我們在 Gandi 帳戶內提供的第一個雙因素身份驗證的選項。了解更多關於如何在 Gandi 帳戶上使用一次性密碼(TOTP)的資訊

通用第二因素

然而,一次性密碼有一個缺陷,那就是它們無法免於受到網路釣魚或中間人攻擊的影響。釣魚是指假冒的網站看起來像真實網站一樣,誘騙您向其提供您的用戶名稱,密碼和一次性密碼。中間人攻擊也是類似網路釣魚,只是較不常見。就像是有人竊聽您一樣。您沒有意識到,但確實有人在聽。即使使用基於時間的一次性密碼,即使在不太可能的情況下,監聽或偽造網站的人也可能在您輸入密碼的時候取得您的密碼。

此解決方案旨在使用公鑰加密 – 與網站上使用 https 的加密方法相同 – 以確保用戶在正確的網站上使用正確的密碼,而沒有任何中間人介入其中。這就稱為雙因素認證或 U2F。

U2F 安全金鑰

U2F 的另一項好處是,在整個過程中都使用了硬體 USB 密鑰。密鑰的使用方式如同所有 USB 裝置,將其插入 USB 端口,然後它就會自動與您的瀏覽器通訊,以驗證您正在嘗試登入的連結。這就好像擁有一把實體的房門鑰匙(您甚至可以把它放在鑰匙圈上),所以它不只更安全,它也更加方便。在使用 U2F 時,您不需要打字,也因此不會有錯別字的問題,而且您也不用擔心您的帳戶因為找不到手機而被鎖定。

U2F 處於安全性的最前端。想了解如何在您 Gandi 的帳戶上進行相關設定,請點選連結查看更多內容