電腦手機網絡安全(三):二步認證的驗證因素
文:薯伯伯
之前提到要為 SIM 卡上鎖及二步認證,兩個方法是最為基礎的網絡保安措施,實行起來也相對簡單,所以先行在前面兩篇文章介紹了。但要強調,即使鎖上了 SIM 卡及用了二步認證,還是有風險,其中脆弱的環節,是 SIM 卡的安全問題。例如在 2018 年,美國著名網站 Reddit 一批員工的戶口被盜,入侵者是在沒有取得受害者手機的情況下,騎劫了 SIM 卡。
所謂「SIM 卡騎劫」,方法很多,例如冒充卡主打電話去電訊公司,申請更換 SIM 卡,又或者要求電訊公司解鎖電話卡。而大部份電訊公司對用戶的認證,既要顧及客人觀感,又要顧及私隱保安,確是兩難。我有一位做客戶服務的朋友說,卡主登記人是女性,但如果有人用男人的老牛聲打上台,只要對方說自己是女人,他們也不能質疑,否則可能成為公關災難。
就算不用打上台冒充卡主,還有不同的方式去攔截 SMS,上網搜查 SMS interception,即能搜到一大堆示範片段及方法。所以,使用二步認證雖然較為安全,但若然用了較不可靠的驗證因素,便會削弱二步認證的保護力量。
那麼,我們應該如何選擇二步認證的驗證因素呢?常見的驗證因素(factor),包括了以下三類:
一,手機短訊
二,軟件認證
三,硬件認證
軟件認證,就是在手機下載一個專門的動態密碼產生器,即 authenticator,每分鐘也會顯示一組六位數字的驗證碼。操作的情況是,不論在手機或電腦登錄二步認證的網站,先輸入戶口本身的密碼,再在手機上打開動態密碼產生器,取得六位驗證碼,再輸入到網站,才能登入。
動態密碼的手機軟件,最常用的是 Google Authenticator,但這個軟件本身沒有上鎖功能,萬一別人取得你手機的開機密碼,就能進入,感覺還是不太可靠。我推介另一款,叫 Lastpass Authenticator,可設置六位的開啟密碼,Lastpass 本身也是另一家非常有名氣的密碼保安公司,使用起來更覺安心。
具體的設置方式如下,只以 Google 戶口做例子:
先在手機下載 Lastpass Authenticator,地址在: https://lastpass.com/auth/ 免費的(如果要備份,需另外付費,但其實不備份也可以)。
之後用手機或桌面電腦的瀏覽器:
1. 登錄 https://myaccount.google.com/security 並輸入密碼。
2. 選擇「兩步驗證」。
3. 重新輸入 Google 的戶口密碼。
4. 選擇「Authenticator 應用程式」
5. 選擇 Android 或 iPhone,按下一步,出現二維條碼。
6. 在手機上打開 Lastpass Authenticator 的 app,按右下方「+」號,選擇 Scan Barcode,再掃一掃上一步驟顯示的二維條碼。
7. 用手機掃完二維碼之後,在瀏覽器中的二維碼畫面,按「下一頁」。
8. 在瀏覽器中輸入 Lastpass Authenticator 顯示的六位數字驗證碼,再按「驗證」。
9. 完成。
(以上步驟,其實按著電腦或手機上畫面的指引去做,可能更為容易。)
其他戶口,例如 Facebook、Dropbox 等,也可以類似的方式註冊,但 Apple ID 不支援這個硬件鑰匙的驗證方式。
* * *
之前介紹了手機短訊,以及軟件認證,那麼還有一個方式,即硬件認證。所謂硬件認證,即「安全金鑰」,就是一隻 USB 手指(也有 NFC 無線介面)。操作的情況是,當你用電腦上的瀏覽器登錄戶口時,輸入戶口密碼後,要插入「安全金鑰」,再用手指摸一摸上面的金屬圈,這樣才能登錄網站。
其中最廣為人知的「安全金鑰」,是 Yubico 的出品,官方網站是:https://www.yubico.com/
網站上有多種產品,眼花瞭亂,選擇上,第一個應該考慮的,是你的桌面電腦用 USB-A 還是 USB-C 的接口。至於無線 NFC 或 iPhone 的 Lightning 插頭(尤其 Lightning 插頭,支援實在太少),有點雞肋,可有可無。
如果你用的是 MacBook/PC 及 iPhone,我較為推介的款式,是:
YubiKey 5 Nano(HK$ 390)
YubiKey 5C Nano(HK$ 470)
YubiKey 5C(HK$ 390)
至於 YubiKey 5Ci(HK$ 550),雖然多了一個 Lightning 插頭,但目前支援的軟件太少,有點雞肋。至於 Android 用戶,因為不太肯定實際的支援情況,在此就不詳述了,有經驗的讀者,請在評論區裡分享一下看法。
另外,要留意不是所有瀏覽器也支援使用 YubiKey,支援的瀏覽器包括 Firefox, Chrome, Opera,但是 Safari 則不支援。如果你本身是習慣用 Safari,即使不是因為 YubiKey,其實基於保安及私隱考慮,也建議儘早改用 Firefox。
* * *
購買這類安全產品,跟買安全套一樣,理論上是要避免使用中介渠道或集運公司,因為理論上越多中間人,那麼理論上就越大機會被人做手腳。其中一種做手腳的方式,是企圖入侵的人,把金鑰裡的物理序列號偷偷記錄,並之後用其他方式去產生密鑰。強調是「理論上」,因為估計實行起來,也非容易,太多顧慮,聽起來好像又太多疑,但既然說到網絡安全,當然要在各個可行的層面,也儘量做好防範的措施。例如萬一你的鑰匙被人偷走,非法扣留,又或是買回來的時候包裝已經打開,就最好不用。
在 Yubico 的官方網站,查看各地的代理名單,在香港有一個官方認可以的代理,是:Netmon Information Systems,地址是:觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ,建議在辦公時間先打電話去查詢存貨量。
* * *
另外,不少人喜歡把手機號碼作為二步認證的其中一個驗證因素,這個用起來雖然方便,但如果你本身已經有軟件認證的 Authenticator 應用程式,又或是硬件認證的安全金鑰,不妨考慮把手機認證這個因素移除,又或是加上可靠朋友的手機號碼做認證。在 Google 的戶口,也可以考慮把 Google Prompt 關掉,至於備用驗證碼,也建議寫在安全的地方,例如告訴可靠的朋友,沒必要放在家裡或身上。
登入戶口當然麻煩了,但謹記一點,如果你總是不用做任何登入步驟,就能自動進入戶口,代表的不只是方便,還有漏洞。
———
照片:幾部老爺智能手機,是 Treo 系列,分別是 650 及 680,都算是我用過的手機裡,最讓人懷念,但又完全不想再重用的智能手機,攝於 2010 年 5 月。
———
* 想追看薯伯伯的文章,請設定本 Page 為「搶先看 / See First」*
Instagram 🥑🥭🍉🍌: pazu
新博客:http://pazu.com/blog
另外還要提一提大家:
【新書速報】Pazu 薯伯伯《不正常旅行研究所》(白卷出版社)——從西藏拉薩到神州大地;由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。
在旺角序言、北角森記、誠品書店及各大書店,均有代售!其中在旺角序言及北角森記,有少量簽名版本。
美國電話號碼產生器 在 COMPOTECHAsia電子與電腦 - 陸克文化 Facebook 的最佳貼文
#通訊 #汽車電子 #車聯網IoV #專用短距通訊DSRC #802.11p #LTE-V #公共安全回應點PSAP #量測 #頻譜分析儀 #訊號產生器 #高頻雷達
【車聯網是否可信賴?挺過壓力測試再說!】
專為 V2X 車輛聯外網路而生的專用短距通訊 (DSRC),雖然皆以 IEEE 802.11p 為底蘊,但從射頻 (RF)、協定、法規到測試場域的驗證仍十分繁雜。美國交通部為落實 2017 年後所生產之小型車須強制安裝車載通訊設備的法令,正積極進行互通測試;而歐盟/俄羅斯亦力推 eCall / ERA GRONOSS 服務——當車載感測器 (如:安全氣囊) 察覺重大車禍,汽車會自動撥打標準的急救電話到公共安全回應點 (PSAP),並傳送位置、車輛號碼及時間等資訊。
一旦緊急通報訊息傳送後,系統將會在通報中心操作人員和車上乘客之間建立語音通道以確認其狀況。上述皆以現有的 GSM 及 WCDMA 技術為基礎,如何依訊號密集度換手 (handover)、控制通道是重點所在。採用完整網路模擬器和模擬 PSAP 軟體工具的測試儀,可配合防護系統、GPS 模組、車載感測器與雷達系統協作;配合頻譜分析儀、訊號產生器或通用無線測試儀可做整套壓力測試與情境測試,確保元件可靠度,並模擬、複現各種突發狀況。
目前車聯網的傳輸規格主要有 802.11p 及 LTE-V 兩種,其中 DSRC 較早被提出且被美國採用,並已由美國運輸部統籌建立測試場域與規則;藉由兩次 plugfest 進行相關驗證,在系統驗證上已有一定成熟度;相對來說,建立在電信網路基礎上的 3GPP LTE-V 就稍晚了一步,但中國車載訊息服務產業應用聯盟 (TIAA) 日前與韓國 SKT、KT、LG 公司及多個汽車產業組織在 LTE- V2X 初步達成合作意向後,聲勢看漲。奧迪、寶馬、戴姆勒等歐洲車廠亦對 LTE-V 表達高度興趣。
整體而言,802.11p 覆蓋範圍小,適用於市區等人口密集處部署;反觀高速公路、郊區或鄉村等大區域範圍,3GPP LTE-V 可能會是較佳的傳輸方案。在實際上路測試時,需考慮到通道衰減與干擾對「待測物傳輸速率」造成的影響。過去進行相關測試需尋找適合的環境場景,且諸多不確定變數可能左右測試結果;透過「通道衰減模擬器」(RFCM) 控制程式設定,可協助用戶模擬、確認在設計好的不同通道衰減下對傳輸速率的影響,確保通訊品質。
延伸閱讀:
《Anritsu:802.11p、LTE-V 各有所歸,情境描述見實力》
http://compotechasia.com/a/____/2017/0811/36357.html
(點擊內文標題即可閱讀全文)
#安立知Anritsu #MS2830A #通道衰減模擬器RFCM #MS2760A #KEYCOM
★★【智慧應用開發論壇】(FB 不公開社團:https://www.facebook.com/groups/smart.application/) 誠邀各界擁有工程專業或實作經驗的好手參與討論,採「實名制」入社。申請加入前請至 https://goo.gl/forms/829J9rWjR3lVJ67S2 填寫基本資料,以利規劃議題方向;未留資料者恕不受理。★★
美國電話號碼產生器 在 每日一冷 Facebook 的精選貼文
#620#~本日冷知識~
你知道嗎?【QR code】
相信大家應該對本期附圖的「條碼」不陌生吧?無論是在捷運站、公車上,甚至在電視上,都看到這個黑白陣列的蹤跡。中文俗稱為二維條碼的 QR code,其實正式的名稱是快速響應矩陣碼 quick response code;嚴格來說 QR code 只是二維條碼的一種,就猶如我們生活中常見的、如斑馬般的一維條碼,其實也有許多種規格,例如書本的ISBN、商店的商品條碼,其實都有所不同。
QR code 的普及與智慧型手機的普及有很大的關係。在QR code被廣泛地使用之前,或甚至在「網址」這個概念被大眾認識之前,一個廣告最重要的資訊之一,大概就是廠商或者聯絡的電話號碼了。在台灣最常幫助使用者或者潛在客戶記憶電話號碼的方式,就是諧音法;而在美國,則是應用我們 #每日一冷 曾經介紹過的電話鍵盤字母對應。到了網路的時代,取一個易於記憶、簡單有力的網址自然成為網站經營者一個重要的準備工作,但是還是會遇到想要的網址已經被網域蟑螂搶先註冊,或者網址不利於非英文母語者記憶等問題;有的時候,即使網站的網址相當簡單,但是要給使用者的網頁網址卻還是又臭又長,例如 Google 的網址大家都知道,但是如果你要傳給朋友一個特定搜尋結果的網頁網址,那恐怕就又是悲劇一場了。有鑒於此,所謂的縮網址、短網址自然就應運而生。不過即使現在大家都已經相當習慣「幫縮網址」的概念,不過卻也存在,在點下縮網址的網址之前,不知道實際連結內容的風險。
到了智慧型手機普及的時代,因為手機普遍搭載了高畫素的照相機,使得讓一般的使用者利用二維條碼讀取資料成為可能,而 QR code 就是今天最常見的標準。
QR code 最明顯的特徵,大概就是三個明顯的「回」記號,這是QR code 的定位記號,讓使用者無論從任何方位、任何角度讀取,都可以讓解析的裝置知道正確的方位。 QR code 還有一個重要的特色,就是包含有冗餘的資訊,也就是所謂的錯誤校正碼。這個特色除了可以避免 QR code 在稍有污損時就無法讀取之外,現在也被廣告商或者設計師廣為利用,也就是可以在 QR code 上加上一些「設計」或者變形,但是卻不影響正常的讀取。
以手機的應用來說, QR code 所能承載的資訊便相當地廣泛;除了大家相當熟悉的網址資訊之外,尚可承載文字、電話號碼,甚至聯絡人名片等資訊。
有興趣的讀者,可以用搜尋引擎「 QR code generator」,即可輕易地找到非常多免費的 QR code 產生器。你也來試試看吧!
#聞史迭
美國電話號碼產生器 在 美國電話號碼產生器2023-在Facebook/IG/Youtube上的焦點 ... 的推薦與評價
美國電話號碼產生器 2023-在Facebook/IG/Youtube上的焦點新聞和熱門話題資訊,找美國電話號碼產生器在2022年該注意什麼?美國電話號碼產生器在2023的熱門內容就在年度社 ... ... <看更多>
美國電話號碼產生器 在 美國電話號碼產生器2023-在Facebook/IG/Youtube上的焦點 ... 的推薦與評價
美國電話號碼產生器 2023-在Facebook/IG/Youtube上的焦點新聞和熱門話題資訊,找美國電話號碼產生器在2022年該注意什麼?美國電話號碼產生器在2023的熱門內容就在年度社 ... ... <看更多>