|By Yaanin
Photo by: Mikhail Nilov
認識雙重驗證 雙重驗證或雙重認證簡稱2-Factor Authentication。主要用於網絡上的登入認證,如手機銀行app、 各社交媒體如Instagram及Facebook的登入等。雙重認證有多種形式, 就不同的機構或平台, 各自都有自己的特定形式。
比如FACEBOOK, 以下是他官方在網站的”幫助中心”所顯示的定義:
“雙重驗證是一種安全功能,可助保護您的 Facebook 帳戶和密碼。設定雙重驗證功能後,只要有人嘗試使用不明瀏覽器或流動裝置登入您的 Facebook 帳戶,系統就會要求輸入一組特別的登入碼,或請您確認該次登入。您也可以在有人試圖透過不明瀏覽器或流動裝置登入時接收警告。”
雙重認證很多時需要用戶提供個人的額外聯絡資料, 如電話號碼或電郵; 又甚至是FACE ID (手機人面辨識)。當用戶進行某類轉帳時, 銀行可能會要求客戶除了在手機以FACE ID登入時, 再要加上輸入密碼。而商業客戶則登入後, 再以TOKEN (迷你數字鍵盤形的鑰匙輸入一次性數字碼。
另外, 相信很多人也有在網上購物以信用咭結帳時被要求以手機接收一次性短訊密碼 (SMS ONE-TIME-PASSWORD)的經驗。這也是雙重認證的一種。
雙重認證在近年似乎已發展成為必須要的。現時太多個人資訊需交給第三方。每當我們使用一些免費APP或網站, 我們都需要以電郵或電話作註冊, 再加上自訂的密碼作登入。以後便以這些資料作登入認證。
假如只有這些簡單的密碼登入, 一旦資料被外泄, 不論這是因為自己不小心或是第三方的保安漏洞, 帳戶很大機會被盜取。
跟雙重認證有著類近的網絡保安作用的是後備個人通訊資料。這同樣也是當有人登入如銀行帳戶時接收警告
當雙重認證尚未普及的年代
大約在十多年前, 網絡上的雙重認證尚未流行。筆者本人也親身經歷過一次帳戶被盜用的苦況。當時網絡帳戶不多, 最主要是電郵這實用工具。筆者當時使用的是微軟提供的免費電郵Hotmail。當時的電郵地址並不似現在邊同時被廣泛地用作其他手機應用程式(APPS)或網站的登入ID; 也不是跟工作有任何連繫的, 故此當時即使被盜用了電郵地址, 而實際上的影響不是十分大。盜用者只是用了筆者的電郵濫發了大量郵件, 而只需簡單的通知微軟, 並重新改過密碼, 便能取回帳戶。這可能也是由於在同一時段內, 有為數不少的帳戶也經歴同樣的情況。由於當時不太普及以Hotmail作工作用途, 最後這並沒有對筆者造成財務上的損失。
但到了現今這雙重認證盛行的年代, 如果沒有啟用雙重認證, 用戶很大機會未能取回帳戶。以下是筆者一個自身的經驗:
最近有一位朋友以FACEBOOK MESSENGER聯絡我, 向我要手提電話。奇怪在這朋友雖不是經常聯絡但我們也曾數次以WhatsApp 聯絡過, 所以不會需要問我的電話號碼是什麼。就在我打算通知他的帳戶有可能已被盜取了的時候, 他就已在WhatsApp群組內說出這不幸的消息。這帳戶他建立了很多時間並用於經營FACEBOOK專頁, 用於建立公司的品牌及推廣的。然而苦無渠道可取回這帳號。這實在是一件十分之不幸的事情。最終雖重新註冊新帳戶。如果他在FACEBOOK提示的時候有登記雙重認證, 則可以用其他手機號碼或電郵地址取回他原先的帳號。
在社交媒體如FACEBOOK及GOOGLE等起被提示提供額外電話號碼或電郵地址時, 筆者也曾猶疑過。畢竟這涉及個人資料並且也担心會在不同的通訊渠道都會收到過多的濫發訊息及宣傳。最後, 筆者在咨詢了資訊科技界的朋友的意見後, 也作出了妥協。原因是筆者的電郵地址、網站及社交媒體等全都跟工作相關。萬一被盜用了, 不但會對公司形象、推廣及操作都造成莫大的損害。權衡利弊下, 筆者認為提供給各平台額外的個人通訊資料是必須要的。
筆者的資訊科技界朋友又特別提及到, 個人資料外泄幾乎是無可避免的。為避免駭客入侵, 網絡系統需要不斷更新以配合服務提供者的系統修改及升級。如果沒有及時升級, 則駭客便有機會找到保安漏洞而入侵系統。 但又基於人手缺乏或需要確保升級後的系統操作順利, 一般從業員都未能或不會立即進行系統升級及更新。故此, 不管多小心謹慎, 各擁有客戶及用戶的機構都會有將公司或客戶資料外泄的機會。
在個人層面方面, 我們可以保障不會從自己身上將資料外泄:
1. 不要將資料隨意提供給第三方。如有人要索取, 請保持懷疑的態度並查證必要性。
2. 將密碼保存好並以加密方式記錄。
3. 不要使用公共WIFI。
4. 不要上一些不知名的網站。如”Https”較”Http”可靠。
5. 登入時以”SSL”或隱藏密碼的方式進行。
參考:
總結而言, 雙重認證或後備個人通訊資料大致有以下用途:
1. 登入帳戶時以電郵及電話短訊通知以確保是本人登入。
2. 忘記密碼時以後備通訊資料上的連結或短訊驗證碼登入或重設密碼。
3. 在社交媒體帳戶被盜用後可作真正主人的證明以重新奪回帳戶。
4. 當你在未登錄過帳戶的電子產品上登入時作出警告。
希望這文章可幫助讀者們了解到雙重認證的重要性。
作者Yaanin為以下兩個機構的多媒體小編:
Comments