【翻牆問答】臉書手機二步認證欠安全 轉用谷歌防入侵

2019-03-08
電郵
評論
Share
打印

問:手機二步認證,眾所周知並不安全,只不過,在臉書(facebook)上使用手機短訊二步認證,就比其他平台更不安全?不安全在哪裡?

李建軍:臉書手機短信二步認證,出現一個嚴重設計失誤,就是個別政府或個人,只要知道你的手機號碼,是有可能知道你的臉書戶口;政府可以利用手機號碼,或反過來查,查到誰在臉書發表一些惹火言論,這就很危險。就算你的號碼用香港手機卡,只要你曾經用來收過短訊,中國當局仍然可以用漫遊紀錄找到你身份。因此,臉書的手機二步認證,對中國聽眾而言是十分危險,縱使你使用的是香港或其他國家的卡,唯一安全方式是先改用其他二步認證方法,並停用手機短訊二步認證。

問:如果臉書不用手機短訊做二步認證,那有甚麼方案可以解決當前的問題?

李建軍:暫時而言,在臉書上使用谷歌(Google)的二步認證手機應用程式已經足夠,因為谷歌二步認證程式是安全的,以及另一個問題是,在中國的聽眾,未必在中國能夠買到,並非由中國廠商製造的FIDO USB金鑰。

當然,如果你因參與谷歌的加強保護計劃,使用谷歌指定型號的USB金鑰,因為反正你也有用谷歌的計劃,就可以一併用在臉書之上。與谷歌的情況相同,USB金鑰只適用於Chrome瀏覽器,但未來應會推廣到其他瀏覽器之上。當然,谷歌推薦的金鑰,當中有中國製造的品牌,因此,要自己評估一下你要承受多大的風險,畢竟翻牆到臉書的目的,都是希望知道自由世界的資訊,以及朋友圈中暢所欲言,而不會被中國當局秋後算賬,惹上麻類。

如果曾經不止一次收到臉書的提示,有人試圖重設你戶口密碼的紀錄,那應該立即停用手機短訊二步認證,並且更改密碼,以及使用手機應用程式做二步認證,甚至改用USB或NFC金鑰,因為你很明顯是當局和黑客的長期目標,可說是高危人士。你若不採取行動,你的戶口遲早被攻破。

問:如果在手機用谷歌二步認證程式好些,還是用金鑰?

李建軍:這要視乎你用的手機,如果手機根本無NFC功能,那你只能在手機上使用二步認證程式,這個是無可奈何的選擇,因為USB金鑰是無法與手機作出連接,不論是Android手機,還是iOS手機都一樣。

但如果你的手機支援NFC,那同時可以用於USB和NFC的金鑰是最好,因為當手機壞了的時候,都不用一定要在電腦上剔除原有裝置後,才能繼續使用臉書。特別手機壞了,你的金鑰仍可用於電腦之上。

問:現時USB金鑰,是不能夠用在Safari瀏覽器之上,那要等到甚麼時候,Safari瀏覽器才能與Chrome一樣,用上USB金鑰二步認證?

李建軍:現時Safari的開發團隊正對相關功能作最後測試,在Safari沒有再推出Windows版後,變成一個與Mac作業系統緊密相連的瀏覽器,當中涉及相當多對Mac作業系統的改動,因此,有可能要等待Mac作業系統去到10.15版才能真的享受相關功能。Mac差不多每年都推出新作業系統,再加上現時甚多人用Chrome,所以還算可以接受。

完整网站