問:手機二步認證,已經是相當流行的1種二步認證方法。但美國國家標準技術研究所,已經不再建議手機短訊作為二步認證的方法,是基於甚麼原因?
李建軍:就算無中國這種電訊公司由政府擁有的情況,在西方自由社會也好,手機短訊作為二步認證手段都不再安全,因為現時黑客已經發展出1套木馬程式,一旦成功入侵你的Android手機,就會攔截你用於網上銀行、電郵系統等二步認證用短訊,然後用作入侵你的銀行或電郵戶口。加上現時2G和3G網絡所用的保安認證手段,都已經被黑客拆解得七七八八,因此,除了申請電郵戶口時,可以用作確認身份之外,其實手機短訊作為二步認證這種方法的安全度愈來愈低,淘汰只是遲早問題。而在中國,由於電訊公司由政府擁有,政府會攔截部分二步認證短訊作監控之用,以及太多假基站等因素,手機短訊二步認證就更加談不上安全。
問:剛才提及那些假基站是怎樣一回事?聽眾要如何去做才能避免遇上假基站,或因假基站,而被黑客有機可乘入侵你的系統。
李建軍:現時有些犯罪集團,精通現有GSM手機網絡的技術,建立一些假發射站,你的手機會因認辨錯誤發射站,而收到假基站的訊號,當你連上假基站時,你會收不到正常的來電,或撥不出電話,只不過你會收到由假基站發出幾可亂真的短訊,你千萬不要打開短訊內的連結,因為短訊內的連結正正是黑客集團精心炮製的木馬(程式),一旦你打開連結,如果你用Android手機,就會安裝奇怪軟件後,之後你的二步認證短訊都會被黑客攔截,後果十分嚴重。
一般人很難成功辨別那些發射站是假發射站,要防止因假發射站而蒙受損失,除了不要打開一些奇怪的短訊,如果你懷疑你在假發射站的覆蓋範圍,應該立即關閉手機,並且重新開機,以及轉移你的位置,避免手機再連上假發射站。但由於不法之徒所開設的假發射站,不少的發射功率都十分之強,因此,你可能要稍移玉步,並且嘗試打出電話,才能夠肯定你的手機沒有連上假發射站。
問:如果不用手機做二步認證,那還有甚麼二步認證的方案,是方便而且安全?特別能夠在手機上使用。
李建軍:有一隻叫 Authy 軟件,這個軟件可以一次過為多個戶口,包括Google和facebook提供二步認證的保護,而且一旦手機不見了,只要輸入備份密碼,就可以將二步認證功能轉移到新手機,而就算你外出旅遊,忘了啟動海外漫遊功能也好,Authy就算在飛行模式,都可以提供有效的二步認證碼,而不一定需要連接互聯網,這可以解決很多人需要的二步認證問題。而這隻軟件是免費,並同時適用於Android和iPhone之上,幾乎適合大部分智能手機使用。如果你不再想用手機短訊二步認證,又不想手機有太多各式各樣的二步認證軟件,變得難於管理,Authy服務是一個相當不錯的選擇來的。而且同時可以用在Evernote和Dropbox等常用的雲端服務。
在iPhone,Authy更加支援指紋認證功能,變相令你的戶口受指紋認證保護。
這次翻牆問答,我們準備了視頻,示範如何簡單設定Authy,以及Google戶口的二步認證,歡迎各位聽眾瀏覽本台的網站,收看有關視頻。雖然用iPhone進行示範,但Android和iPhone在用法上大同小異,並無太大的差別。
0:00 / 0:00