問:時下有不少人使用谷歌的Authenticator作雙因素認證(Two-Factor Authentication, 2FA),谷歌近日有新動作,宣布容許Authenticator與谷歌戶口連結,此舉既能加強網絡安全又可方便用家,但為何不少保安專家都呼籲暫時不要試該新功能?
李建軍:過去谷歌Authenticator並不能與用戶的谷歌戶口連結,試想在這種情況下假如用戶遺失手機,就會十分麻煩,要聯絡每一個網站的客戶服務部門解鎖、重設密碼,並重新建立所有Authenticator的雙因素認證。首先,這對用戶來講要花費大量時間精力,更何況很多網站根本沒資源、也不願意提供這類服務,有人可能要被迫中途棄權。而當用戶能將Authenticator與谷歌戶口連結,遇到上述情況問題就相對容易解決。
然而Authenticator與用戶連通卻有兩個問題。首先,谷歌戶口本身都是黑客目標,特別是中國黑客的目標,將Authenticator與谷歌戶口連結後,萬一谷歌戶口被攻入就肯定是一場大災難。另一方面,谷歌並無將Authenticator與帳戶的連結做點對點加密,這個漏洞可能會被黑客利用攔截。谷歌留下這個漏洞,亦令人懷疑意圖藉此提高廣告投放準確率。在眾多疑慮下,建議暫時不啟動新功能,那是最能保障自己。
問:手機遺失或者損壞會造成雙因素認證不便,那麼目前要解決這個問題,有甚麼好辦法?
李建軍:硬體金鑰目前是最好的雙因素認證工具,而且你可以設定兩至三條,將後備金鑰存放在安全地點就能避免手機遺失等造成的認證不便。而且硬體金鑰,被黑客成功攻入可能性近乎零,谷歌亦不多可能掌握到你的私隱。而且現時美國或歐洲製造的硬體金鑰已經相當便宜,如果網站容許你用硬體金鑰,都應以其為首選。其實現時有相當多網站已經陸續支援硬體金鑰,因此,以谷歌Authentictor或相類似的技術做雙因素認證,其實在數年後有可能會被淘汰。
當然,有部分網站,至今仍然未支援硬體金鑰做雙因素認證。在這種情況下,假設網站容許你使用多個裝置做雙因素裝置,而你又有多部手機或平板電腦的話,應該選擇多個裝置做雙因素裝置的做法。那至少當其中一個裝置損壞或遺失時,你可以用另一個裝置登入帳戶,並且解除舊裝置的雙因素認證授權。
另外,使用專門做一次性密碼的裝置也是一個方法,只不過這個方法遠比硬體金鑰來得昂貴。
問:用舊有手機專門做Authenticator又是否一個好的做法?
李建軍:用舊的iPhone或Android手機做Authenticator用途前,要留意幾點。首先,相關手機的作業系統版本不能太舊,否則可能出現不能更新應用程式以及作業系統的情況。而遇到這種情況時,其作為Authenticator的用途將失效,換言之,你將很難取回登入網站的密碼。另一方面,要確保舊手機電池正常。使用Authenticator的前提是手機必須能夠啟動,這與硬體金鑰大部分幾乎不用獨立電池有明顯差別。另外手機的相機鏡頭亦必須正常運作,因為QR碼仍然在Authenticator使用上扮演重要角色。
在用舊手機做Authenticator問題上,蘋果手機會略比Android為好,因為Android手機經常有拒絕向舊款機型提供作業系統更新的問題,一旦有新的Authenticator應用程式推出,就有可能因作業系統無法更新的而無法執行,而蘋果很多時仍然會為機齡超過五年的機種提供作業系統更新以及電池零件更換。如果你舊手機的生產商已經倒閉或者不再更新,建議無需考慮用這些失去了技術支援的舊手機作雙因素認證之用。