8月1日,Reddit公布网站系统在6月中被黑客入侵,部分用户资料被盗包括一些现有的电邮地址以及2007年的备份数据库——后者含有用户名称、电邮地址和已加密储存的密码。
Reddit指黑客入侵了数位员工的帐户,虽然系统要求双重认证(2FA,又称两步骤验证),但他们从中学到以SMS作认证「不像我们希望般安全」,黑客透过截取短讯成功入侵。
双重认证用上双重认证的系统,在用户登入时除了要输入密码外,亦须以另一种方式确认身份,其中一种常见方法是系统传SMS短讯给用户,再由用户输入短讯内单次使用的验证码。双重认证的好处在于,即使别人取得你的密码,对方仍未能立即控制你的帐户。
在2018年,所有人都应该使用双重认证,让帐户多一重保障。不过Google的软件工程师Grzegorz Milka在今年1月透露,即使Gmail引入双重认证近7年,仍然只有不足一成的活跃帐户使用双重认证——假如你亦未启用双重认证,请看完这篇文章后立即更改设定。
双重认证虽然好,然而以SMS短讯接收验证码其实没有那么安全——可能仅比不使用双重认证安全——因为黑客已经学会取得验证码的方法。
控制你的手机号码虽然Reddit表示黑客用的方法是「截取SMS」,未有明确解释,只提及有关员工的电话没有被入侵,然而有数名安全专家认为,黑客实际上透过「SIM骑劫」(SIM hijacking)攻击去控制帐户。
要进行「SIM骑劫」,黑客首先要知道目标的电话号码,再伪装成目标前往电讯公司,讹称丢失了SIM卡,要求把电话转移至新的SIM卡上。虽然电讯公司职员会要求提供资料确认身份,但所需的资料通常不多,黑客可透过其他方法取得。
只要成功说服电讯公司职员把目标的电话号码转移至新SIM卡,黑客基本上成功控制了目标的电话号码,收取短讯,受害人则无法再使用该号码。现时不少网络帐户都会跟电话号码连结,因此黑客可以控制受害人其他帐户,甚至可以偷走其加密货币和银行存款。
此外,电话网络所用的讯息系统本身亦有其漏洞,容易入侵来窃听、截取讯息或追蹤位置,这些情况下受害人甚至不会立即知道帐户被盗。
验证应用程式既然启用双重认证是为了确保帐户安全,自然不应再使用容易被黑客攻击的SMS短讯收取验证码。目前不少网络平台均有提供其他方法作双重验证,较简单的是使用验证应用程式,例如Authy、Duo Mobile及Google身份验证器等。
安装验证应用程式后,先到帐户设定启用双重认证,再选择使用验证程式——假如你已经启用,但以短讯接收验证码的话,亦可修改验证方法。这些时候,系统会显示一个QR二维码,只需要打开验证应用程式,选择「新增帐户」再扫描一下,便能完成设定。设定好后,再次登入时只需要打开验证程式,输入相应的验证码便能够登入(验证码会随时间不断改变)。
Google帐户亦提供一种更方便的验证方式——Google提示(Google Prompt)——启用后,用户登入时会其手机会显示讯息,只要点一下确认身份便完成认证,较为方便快捷。
紧记设定后备方案必须注意的是,验证程式安装在你的手机上,万一遗失手机便无法再登入,因此设定使用验证程式的同时,亦应该启用备用验证码,让系统产生多个单次使用的验证码,同样可以用作双重认证。这些验证码非常重要,需要储存在安全地方。
另外,Facebook在「帐户安全和登入」中容许用户设定「帐户被锁住时能够联络的朋友」,只要选上3至5位Facebook上的朋友,万一忘了密码、丢失手机时,只要用户能联络这几个人取得验证码,仍然可以重新登入帐户。
当然,还是要设定好一个安全的密码,而且不要在其他地方重複使用这个密码。
相关文章︰
利用通讯网络漏洞 专家示範窃听国会议员手机 比特币价格20个月内升近10倍,但他忘记了钱包密码 保安专家︰经常转换密码 可能适得其反资料来源︰
We had a security incident. Here's what you need to know. (Reddit) Reddit Got Hacked Thanks to a Woefully Insecure Two-Factor Setup (Wired) Reddit Should Tell Us More About How it Got Hacked (Motherboard) Password breach teaches Reddit that, yes, phone-based 2FA is that bad (Ars Technica) Who's using 2FA? Sweet FA. Less than 10% of Gmail users enable two-factor authentication (The Register) How to Secure Your Accounts With Better Two-Factor Authentication (Wired) How to Protect Yourself From SIM Swapping Hacks (Motherboard) What Is a Two-Factor Authentication Recovery Code? (Motherboard) Two-factor authentication: How and why to use it (CNET)