網絡安全|雙重認證常用3方法 資訊科技專家:在指定手機接收驗證通知較安全
文章日期:2021年01月12日
網上交易、社交媒體普及,不少人為保障個人資訊及私隱,都會為帳戶做雙重認證。香港互聯網協會網絡保安及私隱小組召集人楊和生表示,雙重認證(Two-Factor Authentication )又稱兩階段驗證(Two-Step Verification),意為驗證用戶登入網站或使用電腦系統時,須提供兩種證據以確認身分。他分享使用雙重認證的貼士,以及講解雙重認證不同方法的優點和缺點。
雙重認證常用3方法
楊和生稱,現時一般應用程式或社交網站如Gmail、facebook、Instagram(IG)、Twitter等,在設定雙重認證時有不同的選擇,常見有3種:
1. 使用手機接收短訊(SMS)
2. 使用雙重認證的應用程式(App),如Authy、Google身分驗證器(Google Authenticator)[Android][iPhone]產生單次有效數字
3. 在指定手機上接收驗證通知(以Google帳戶如Gmail為例,選擇Google提示作雙重認證即屬此類)
楊和生建議用家可選擇「在指定手機上接收驗證通知」或「Google提示」,此方法目前暫時未發現有保安漏洞。不過,某些網站或App未必可設定「在指定手機上接收驗證通知」,須用雙重認證App幫助。
雙重認證App vs.手機接收SMS
楊和生稱用雙重認證App產生單次有效數字,較以手機接收SMS安全。因為SMS透過無線電話的網絡傳送,當網絡被發現時,SMS內容於特定情況下可被截取,雙重認證的單次有效數字因而有可能外泄,被入侵帳戶及冒認身分的機會較大。
惟用雙重認證App進行雙重認證亦非無缺點。楊和生指出,用App亦有機會受到「網絡釣魚」(Phishing)攻擊,而且有時用App會當機,導致無法登入。
不贊成設定「可信任的裝置」
大多數使用雙重認證的網站都允許用戶在首次使用時,詢問用戶是否要「將裝置識別為可信任的裝置」,以便下次用同一裝置登入時毋須再作雙重認證。惟楊和生認為考慮到網絡安全風險問題,不贊成使用「可信任的裝置」功能。
文:何芍盈
相關報道:
八大設定你要識!設定IG私人帳號·移除粉絲·隱藏最後上線時間
更多Hot Pick:link.mingpao.com/43932.htm