問:最近有保安專家發現Facebook母公司Meta的二步認證,居然可以透過暴力手段破解,雖然Meta已經將有關漏洞修補好,但由事件可見,任何透過互聯網傳遞的二步認證碼都可能出現問題,不知這個問題對日後大家使用二步認證碼有甚麼啟示?
李建軍:Meta這次被發現的二步認證漏洞,出現在電郵二步認證碼傳送。由於Meta之前未有防止用暴力破解,而Meta二步認證碼只有六位數字,所以以現時的電腦和網絡速度,如果黑客有國家政府支持,要知道二步認證碼連結的格式,並不斷用暴力方式傳送不同的認證碼試圖撞入對方戶口,是不難做到快速暴力破解。
一旦成功破譯,這樣受害者的電郵乃至Meta戶口,就被黑客操縱而不自知。因此,不單短信的二步認證碼有相當的風險,就連相對安全的電郵二步認證碼,其實都開始出現保安問題,Meta縱使修補漏洞都只不過暫時解決問題。
問:二步認證目的本來是要加強保安,但為何從短信二步認證到電郵二步認證,都會出現保安問題呢?
李建軍:二步認證碼本質仍然是密碼,將密碼透過公開的網絡傳送,就會有被攔截的風險,邏輯就是如此簡單。這也是現時各大公司開始淘汰短信二步認證的原因——因為短信傳送的二步認證遭攔截已經越來越普遍。如果日後各公司開始淘汰電郵二步認證,都不會令人感到意外。要避免攔截的風險,使用不需要經過網絡傳送的二步認證機制,就是最安全可靠的做法。另外,目前而言,就算以電郵傳送二步認證碼,只要相關的算式未有漏洞可以被黑客攔截,基本上都是安全可靠。但長遠而言,黑客向電郵二步認證下手是遲早的事。更何況,在電郵這個範疇,黑客有可能利用釣魚電郵混淆視聽,或用其他方法偷取電郵賬戶,這些都是長久存在的問題。
問:那有甚麼二步認證方式,肯定不會經過網絡傳送?
李建軍:現時主要有兩個方法。第一是採用手機那些產生二步認證密碼的App;第二是使用開始流行並成業界標準的各類硬件保安金鑰。兩者將能將整個二步認證過程中要使用到互聯網通訊的機會減到最低。前者的邏輯是,只要用戶作出妥善設定,之後認證過程中,只會需要輸入並未經過互聯網傳送過,即時由手機產生的密碼。至於保安金鑰,則只需輕輕一按就完成整個程序,外間基本上不可能作出非物理攔截。後一種方法更勝前者的一點在於,它能使暴力破解,撞破密碼的可能性都消除——因為保安金鑰如何與網站溝通是瀏覽器去負責。
因此,為何業界普遍推介硬體保安金鑰,亦正正因為它是安全性最高、最不可能被第三者攔截的二步認證方式。在此再次重申,二步認證要做到最高保安程度,就要儘量減少過程中涉及互聯網通訊,因為只要越多涉及人機互動的互聯網通訊部分,就容易被攔截或暴力破解。
問:Meta旗下Instagram在互聯網的重要性越來越大,因為年青一代多數走向Instagram。而Instagram主要集中在手機上使用,於是有不少人貪方便,選擇用手機短信作為Instagram的二步認證。其實手機上是不是很難配合實體金鑰匙作二步認證的手段?
李建軍:其實手機上用保安金鑰都很方便,因為現時NFC的保安金鑰已經支援主流使用NFC技術的手機。當然,如果你的手機不支援NFC保安金鑰,例如你用iPhone的話,可以用支援Lightning插口的金鑰;假如你用Android手機,支援Micro USB插口的保安金鑰亦相當流行。因此,只要使用適合你手機的保安金鑰,就算不支援NFC都會有足夠的保護。
而且使用保安金鑰作出二步認證,亦可以防止一旦手機被偷,黑客乘機騎劫你戶口的情況——因為在攻破手機本身之餘,黑客還要取得保安金鑰才能攻入下一步賬戶。
現在手機已經普及,何況在新一代保安技術支援下,手機轉售難度越來越高。在中國或香港的情況,很多時盜匪未必志在手機本身,更多是在乎你手機內的資料,以及同手機關連的社交媒體戶口資料。因此停用手機短信二步認證,改用保安金鑰,能加強Instagram用家保安。