網絡安全|雙重認證常用3方法 資訊科技專家:在指定手機接收驗證通知較安全

文章日期:2021年01月12日

網上交易、社交媒體普及,不少人為保障個人資訊及私隱,都會為帳戶做雙重認證。香港互聯網協會網絡保安及私隱小組召集人楊和生表示,雙重認證(Two-Factor Authentication )又稱兩階段驗證(Two-Step Verification),意為驗證用戶登入網站或使用電腦系統時,須提供兩種證據以確認身分。他分享使用雙重認證的貼士,以及講解雙重認證不同方法的優點和缺點。

雙重認證常用3方法

楊和生稱,現時一般應用程式或社交網站如Gmail、facebook、Instagram(IG)、Twitter等,在設定雙重認證時有不同的選擇,常見有3種:

1. 使用手機接收短訊(SMS)

2. 使用雙重認證的應用程式(App),如Authy、Google身分驗證器(Google Authenticator)[Android][iPhone]產生單次有效數字

3. 在指定手機上接收驗證通知(以Google帳戶如Gmail為例,選擇Google提示作雙重認證即屬此類)

楊和生建議用家可選擇「在指定手機上接收驗證通知」或「Google提示」,此方法目前暫時未發現有保安漏洞。不過,某些網站或App未必可設定「在指定手機上接收驗證通知」,須用雙重認證App幫助。

雙重認證App vs.手機接收SMS

楊和生稱用雙重認證App產生單次有效數字,較以手機接收SMS安全。因為SMS透過無線電話的網絡傳送,當網絡被發現時,SMS內容於特定情況下可被截取,雙重認證的單次有效數字因而有可能外泄,被入侵帳戶及冒認身分的機會較大。

惟用雙重認證App進行雙重認證亦非無缺點。楊和生指出,用App亦有機會受到「網絡釣魚」(Phishing)攻擊,而且有時用App會當機,導致無法登入。

不贊成設定「可信任的裝置」

大多數使用雙重認證的網站都允許用戶在首次使用時,詢問用戶是否要「將裝置識別為可信任的裝置」,以便下次用同一裝置登入時毋須再作雙重認證。惟楊和生認為考慮到網絡安全風險問題,不贊成使用「可信任的裝置」功能。

文:何芍盈

相關報道:

VPN建「秘密通道」 WFH防黑客

揀VPN五大注意 方保僑提醒:只用VPN未必能保私隱

網絡安全﹕雙重認證防「賊仔」

WhatsApp帳號自保 雙步驟驗證你要識

八大設定你要識!設定IG私人帳號·移除粉絲·隱藏最後上線時間

更多Hot Pick:link.mingpao.com/43932.htm