【翻墙问答】安全漏洞多 短信二步认证时代渐成过去


2020-11-20
Share
Firewall620.jpg 2020年9月初问世的YubiKey 5C NFC是目前全球首款同时提供USB-C及NFC介面、支援多种保安协定的安全金钥。(Business Wire)

问:在四年前,美国政府已经呼吁各网站停止使用短信作二步认证之用,而最近微软再度呼吁,各网站和用户停止使用短信进行二步认证。其实短信二步认证,是否已经去到一个非废除不可的地步?

李建军:近年,有很多涉及短信的身份盗窃罪案,当中有不少与二步认证短信被拦截有关,特别在手机SIM咭保安被黑客破解的情况下,短信二步认证的效用本来已经受到严重质疑。更何况对于在中国以至其他专制政体国家生活的人而言,这些国家的电讯公司由政府拥有,政府执法甚至情报部门明目张胆透过电讯公司偷取二步认证短信,短信二步认证在此情形下变得毫无意义。因此,由用户私隐和网络安全角度考虑,是不应提倡继续使用手机短信作二步认证。

另一方面,有部分国家因应5G技术的发展,已经考虑终止所有2G或3G服务,或只保留2G或3G的紧急通讯部分,其馀2G或3G功能,包括短信功能都不保留,务求令绝大部分频宽都可以用于4G和5G网络之上。因此,在4G和5G主导一切的年代,淘汰本身用了接近四十年的短信技术,亦都十分合理。而短信本身,亦是为了2G技术而设计,与4G以互联网技术为本的新科技相比,亦显得十分之不合时宜。

问:苹果的工程师,较早前提出新的短信认证技术,并且已经得到谷歌的支持,预料可以同时用于Android和iOS手机之上,苹果提出的新方案,又能否解决短信认证不安全的问题?


李建军:苹果提出的方案,其实是提升用户体验,多于保安用途。这项新技术的具体理念在于令用户在网上购物时,电话能够自动将短信内容传到浏览器,然后输入短信上的认证密码,务求令用户于网上购物,特别是使用手机购物时,不用输入短信内容浪费时间。但由于文字短信并无加密,而部分国家的电讯公司甚至政府会偷窃用户的短信,所以这个问题并不会因为苹果新技术得到解决。因此,这个新技术,只可以视为改善用户体验,让短信认证不会变得太令用户困扰的技术,而不会解决诸如中国听众必须面对的电讯公司拦截短信问题。

问:现时不少人都使用加密金钥进行二步认证,而U2F加密金钥,已经发展到可以用指纹认证的程度,不知能否介绍一下?

李建军:如果你是苹果用户及有使用Touch ID功能,并且升级至最新版的Mac OS的MacBook Pro,你已经可以使用Touch ID作U2F认证之用。只不过,由于暂时谷歌帐户未完全支援这项技术,因此还要待稍后谷歌提供全面支援时,才能在谷歌配套产品中配合使用。但就现时而言,你亦可以在使用 iOS 14的手机中安装谷歌 Smart Lock软件,就可以一如Android手机使用手机甚至平板电脑作二步认证之用,间接透过手机的Touch ID或Face ID功能作二步认证。说起来,U2F技术已经越来越普及,甚至有趋势会成为日后电脑和手机标准配备一部分,因此亦更加无理由坚持使用短信二步认证。

另一方面,已经有公司开发连接电脑USB埠的U2F指纹认证加密金钥,相信明年就能将相关产品推出应市。相信有了指纹认证加密金钥后,就算金钥被偷都不用怕——因为没有相应指纹配合,黑客即使取得实体金钥也始终是徒劳无功。届时,就更加没有理由,仍然使用问题多多,而且技术过时的手机短信作二步认证。

Edge及Safari用户可直接点击收听
其他浏览器用户请点此下载播放插件

新增评论

请将评论填写在如下表格中。 评论必须符合自由亚洲电台的 《使用条款》并经管理员通过后方能显示。因此,评论将不会在您提交后即时出现。自由亚洲电台对网友评论的内容不负任何责任。敬请各位尊重他人观点并严守事实。

完整网站