对于华人来说,诈骗无所不在,被盗账号好像也成为一件稀松平常的事情。当你被盗账号后,这时你才会知道两步骤认证或是双因素授权的好处。不过,你或许从来没有注意过,这两者有什么不同,双因素认证很多人都会误以为它跟“两步骤认证”是同一件事情,但这其实是一场误会。
双因素授权(two-factor authentication ),也有人翻译成双因素认证、双重身份授权、双重身份认证,有些人往往会将它跟两阶段认证(two-step verification)搞在一起,其实是错误的。虽然你不是密码学专家,透过 Net Wrok World 这篇文章列出的 5 点,你可以清楚了解这项技术。
1. 双因素授权(two-factor authentication )或是两阶段认证(two-step verification)?
很多人都认为它们是同一个东西,但事实上它们不是。
虽然大多数人都将授权与认证视为同一件事,如果你不是专门研究密码学的人,将他们混为一谈也无可厚非。不过,在定义上,授权,就是要确认是由“你”这个人所发出的,要怎么在电脑上辨认出是“你”,这个授权必须要有唯一性,不会与其他人重复到。目前我们有 3 种授权方式:
- 一种是你已经知道的,例如密码或 PIN;
- 一种是你已经有的,例如手机或特殊的 USB 钥匙;
- 一种是你与生俱来的,例如指纹或其他特征。
双因素授权(two-factor authentication ),就是结合了两种不同的授权方式,而两阶段认证,则是两次都使用相同的授权方式。
例如,你可以透过邮件或简讯来发送密码等。 或许你认为手机验证码会是另一种授权方式,但是事实上这些都是属于单因素授权。原因在于,简讯并不安全,且密码也很容易被截获,从安全角度来看的话,这种两种方式的安全性是类似的。
因此,双因素授权会比两阶段认证更安全,这是可以确定的。不过,使用两阶段认证,还是要比单一的密码认证要安全的多,这也是事实。
2. 一个账号走天下
在所有的网络账号中,最应该保护的是你的电子邮件信箱,不但因为电子邮件信箱包含了你的私人邮件,更重要的是很多网络服务都会要求你用电子邮件信箱登入,并且利用这个信箱来重设密码。
因此,一个老练的骇客入侵了你的邮件信箱后,将可以搜寻你过去注册过的邮件,从中找到你有多少个账号,它就可以透过这些资讯重设你的各种网络服务密码。因此,从你的电子邮件信箱开始,设定双因素授权(two-factor authentication ),或者两阶段认证(two-step verification),都是不错的安全开始。
3. 已完成。然后呢?
如果你有使用密码管理工具等网络服务,那么这是你下一个要进行双因素授权的地方。很多受欢迎的密码管理工具,都会有双因素授权的选项。
接下来,再其次就是在你常去的网站开始启用双因素授权。很多的网站服务都会支援双因素授权,包括 Facebook、Twitter、Apple ID、iCloud、亚马逊、Paypal、LinkedIn、Snapchat 和 WordPress.com 等。
4. 该不该将装置识别为“可信任的装置”
大多数双因素授权的网站都允许用户在第一次使用网络服务时,网站或该服务会跳出一个讯息,问你是否要“将装置识别为可信任的装置”?
如果你答应了,这会使得这一台受信任的装置不受双因素授权的影响,下一次当你在该装置上登入这个服务时,只需要输入密码就可以。
对于使用者来说,这当然非常方便,但是却也有一定的安全隐忧。如果你在这款信任的装置上关闭了双因素授权,这就使得骇客可以轻松地盗取你的讯息,因此对于这一点也要时刻注意。
不仅如此,当你遗失了你的电脑或手机时,你也无法确定获得手机或电脑的人是否可以找到方法来解锁你的账户。幸运的是,大多数网站都会让用户选择是否移除对之前装置的信任,这在装置遗失的时候非常重要。
5. 我有可能把自己“搞丢”了吗?
在大多数情况下,你的手机将会是你的双因素授权的中心。在很多情况下,我们需要利用手机来接收验证码,或者透过特殊的 App 来产生验证码,例如 Google 身份验证器(Google Authenticator)。
但是,手机也是最容易遗失或损坏的装置。这时,你是不是就也把自己给“搞丢”了呢?
幸好,大多数的网络服务都有对应的紧急计划。一些公司允许你使用备用号码来进行恢复你的账号,比方说你可以指定你的朋友、亲人的手机号码,来当作这个备用号码。另外,比较少数的网络服务公司,则会让你可以多设一组备用密码,让你在需要的时候透过这个密码来恢复账号。
如果你记忆力特别差,或是骇客特别厉害,上述方法都无效,那么你只能用最原始的办法,打客服电话或发邮件去向网络服务公司的技术人员寻求协助。但是,前提是你必须要向他们证明“你就是你”。这些客服人员可能会问你一些只有你知道的讯息,确认你的身份。但也有一些网络服务公司的客服没有那么勤快,甚至不是那么注重客服的公司,面对这些公司,你就只有自求多福了。
- 5 things you should know about two-factor authentication
- 关于密码“二元验证”,你需要知道的五件事情
(本文由 T客邦 授权转载;首图来源:shutterstock)
