【翻牆問答】安全漏洞多 短信二步認證時代漸成過去

0:00 / 0:00

問:在四年前,美國政府已經呼籲各網站停止使用短信作二步認證之用,而最近微軟再度呼籲,各網站和用戶停止使用短信進行二步認證。其實短信二步認證,是否已經去到一個非廢除不可的地步?

李建軍:近年,有很多涉及短信的身份盜竊罪案,當中有不少與二步認證短信被攔截有關,特別在手機SIM咭保安被黑客破解的情況下,短信二步認證的效用本來已經受到嚴重質疑。更何況對於在中國以至其他專制政體國家生活的人而言,這些國家的電訊公司由政府擁有,政府執法甚至情報部門明目張膽透過電訊公司偷取二步認證短信,短信二步認證在此情形下變得毫無意義。因此,由用戶私隱和網絡安全角度考慮,是不應提倡繼續使用手機短信作二步認證。

另一方面,有部分國家因應5G技術的發展,已經考慮終止所有2G或3G服務,或只保留2G或3G的緊急通訊部分,其餘2G或3G功能,包括短信功能都不保留,務求令絕大部分頻寬都可以用於4G和5G網絡之上。因此,在4G和5G主導一切的年代,淘汰本身用了接近四十年的短信技術,亦都十分合理。而短信本身,亦是為了2G技術而設計,與4G以互聯網技術為本的新科技相比,亦顯得十分之不合時宜。

問:蘋果的工程師,較早前提出新的短信認證技術,並且已經得到谷歌的支持,預料可以同時用於Android和iOS手機之上,蘋果提出的新方案,又能否解決短信認證不安全的問題?


李建軍:蘋果提出的方案,其實是提升用戶體驗,多於保安用途。這項新技術的具體理念在於令用戶在網上購物時,電話能夠自動將短信內容傳到瀏覽器,然後輸入短信上的認證密碼,務求令用戶於網上購物,特別是使用手機購物時,不用輸入短信內容浪費時間。但由於文字短信並無加密,而部分國家的電訊公司甚至政府會偷竊用戶的短信,所以這個問題並不會因為蘋果新技術得到解決。因此,這個新技術,只可以視為改善用戶體驗,讓短信認證不會變得太令用戶困擾的技術,而不會解決諸如中國聽眾必須面對的電訊公司攔截短信問題。

問:現時不少人都使用加密金鑰進行二步認證,而U2F加密金鑰,已經發展到可以用指紋認證的程度,不知能否介紹一下?

李建軍:如果你是蘋果用戶及有使用Touch ID功能,並且升級至最新版的Mac OS的MacBook Pro,你已經可以使用Touch ID作U2F認證之用。只不過,由於暫時谷歌帳戶未完全支援這項技術,因此還要待稍後谷歌提供全面支援時,才能在谷歌配套產品中配合使用。但就現時而言,你亦可以在使用 iOS 14的手機中安裝谷歌 Smart Lock軟件,就可以一如Android手機使用手機甚至平板電腦作二步認證之用,間接透過手機的Touch ID或Face ID功能作二步認證。說起來,U2F技術已經越來越普及,甚至有趨勢會成為日後電腦和手機標準配備一部分,因此亦更加無理由堅持使用短信二步認證。

另一方面,已經有公司開發連接電腦USB埠的U2F指紋認證加密金鑰,相信明年就能將相關產品推出應市。相信有了指紋認證加密金鑰後,就算金鑰被偷都不用怕——因為沒有相應指紋配合,黑客即使取得實體金鑰也始終是徒勞無功。屆時,就更加沒有理由,仍然使用問題多多,而且技術過時的手機短信作二步認證。