電腦手機網絡安全(三):二步認證的驗證因素
文:薯伯伯
之前提到要為 SIM 卡上鎖及二步認證,兩個方法是最為基礎的網絡保安措施,實行起來也相對簡單,所以先行在前面兩篇文章介紹了。但要強調,即使鎖上了 SIM 卡及用了二步認證,還是有風險,其中脆弱的環節,是 SIM 卡的安全問題。例如在 2018 年,美國著名網站 Reddit 一批員工的戶口被盜,入侵者是在沒有取得受害者手機的情況下,騎劫了 SIM 卡。
所謂「SIM 卡騎劫」,方法很多,例如冒充卡主打電話去電訊公司,申請更換 SIM 卡,又或者要求電訊公司解鎖電話卡。而大部份電訊公司對用戶的認證,既要顧及客人觀感,又要顧及私隱保安,確是兩難。我有一位做客戶服務的朋友說,卡主登記人是女性,但如果有人用男人的老牛聲打上台,只要對方說自己是女人,他們也不能質疑,否則可能成為公關災難。
就算不用打上台冒充卡主,還有不同的方式去攔截 SMS,上網搜查 SMS interception,即能搜到一大堆示範片段及方法。所以,使用二步認證雖然較為安全,但若然用了較不可靠的驗證因素,便會削弱二步認證的保護力量。
那麼,我們應該如何選擇二步認證的驗證因素呢?常見的驗證因素(factor),包括了以下三類:
一,手機短訊
二,軟件認證
三,硬件認證
軟件認證,就是在手機下載一個專門的動態密碼產生器,即 authenticator,每分鐘也會顯示一組六位數字的驗證碼。操作的情況是,不論在手機或電腦登錄二步認證的網站,先輸入戶口本身的密碼,再在手機上打開動態密碼產生器,取得六位驗證碼,再輸入到網站,才能登入。
動態密碼的手機軟件,最常用的是 Google Authenticator,但這個軟件本身沒有上鎖功能,萬一別人取得你手機的開機密碼,就能進入,感覺還是不太可靠。我推介另一款,叫 Lastpass Authenticator,可設置六位的開啟密碼,Lastpass 本身也是另一家非常有名氣的密碼保安公司,使用起來更覺安心。
具體的設置方式如下,只以 Google 戶口做例子:
先在手機下載 Lastpass Authenticator,地址在: https://lastpass.com/auth/ 免費的(如果要備份,需另外付費,但其實不備份也可以)。
之後用手機或桌面電腦的瀏覽器:
1. 登錄 https://myaccount.google.com/security 並輸入密碼。
2. 選擇「兩步驗證」。
3. 重新輸入 Google 的戶口密碼。
4. 選擇「Authenticator 應用程式」
5. 選擇 Android 或 iPhone,按下一步,出現二維條碼。
6. 在手機上打開 Lastpass Authenticator 的 app,按右下方「+」號,選擇 Scan Barcode,再掃一掃上一步驟顯示的二維條碼。
7. 用手機掃完二維碼之後,在瀏覽器中的二維碼畫面,按「下一頁」。
8. 在瀏覽器中輸入 Lastpass Authenticator 顯示的六位數字驗證碼,再按「驗證」。
9. 完成。
(以上步驟,其實按著電腦或手機上畫面的指引去做,可能更為容易。)
其他戶口,例如 Facebook、Dropbox 等,也可以類似的方式註冊,但 Apple ID 不支援這個硬件鑰匙的驗證方式。
* * *
之前介紹了手機短訊,以及軟件認證,那麼還有一個方式,即硬件認證。所謂硬件認證,即「安全金鑰」,就是一隻 USB 手指(也有 NFC 無線介面)。操作的情況是,當你用電腦上的瀏覽器登錄戶口時,輸入戶口密碼後,要插入「安全金鑰」,再用手指摸一摸上面的金屬圈,這樣才能登錄網站。
其中最廣為人知的「安全金鑰」,是 Yubico 的出品,官方網站是:https://www.yubico.com/
網站上有多種產品,眼花瞭亂,選擇上,第一個應該考慮的,是你的桌面電腦用 USB-A 還是 USB-C 的接口。至於無線 NFC 或 iPhone 的 Lightning 插頭(尤其 Lightning 插頭,支援實在太少),有點雞肋,可有可無。
如果你用的是 MacBook/PC 及 iPhone,我較為推介的款式,是:
YubiKey 5 Nano(HK$ 390)
YubiKey 5C Nano(HK$ 470)
YubiKey 5C(HK$ 390)
至於 YubiKey 5Ci(HK$ 550),雖然多了一個 Lightning 插頭,但目前支援的軟件太少,有點雞肋。至於 Android 用戶,因為不太肯定實際的支援情況,在此就不詳述了,有經驗的讀者,請在評論區裡分享一下看法。
另外,要留意不是所有瀏覽器也支援使用 YubiKey,支援的瀏覽器包括 Firefox, Chrome, Opera,但是 Safari 則不支援。如果你本身是習慣用 Safari,即使不是因為 YubiKey,其實基於保安及私隱考慮,也建議儘早改用 Firefox。
* * *
購買這類安全產品,跟買安全套一樣,理論上是要避免使用中介渠道或集運公司,因為理論上越多中間人,那麼理論上就越大機會被人做手腳。其中一種做手腳的方式,是企圖入侵的人,把金鑰裡的物理序列號偷偷記錄,並之後用其他方式去產生密鑰。強調是「理論上」,因為估計實行起來,也非容易,太多顧慮,聽起來好像又太多疑,但既然說到網絡安全,當然要在各個可行的層面,也儘量做好防範的措施。例如萬一你的鑰匙被人偷走,非法扣留,又或是買回來的時候包裝已經打開,就最好不用。
在 Yubico 的官方網站,查看各地的代理名單,在香港有一個官方認可以的代理,是:Netmon Information Systems,地址是:觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ,建議在辦公時間先打電話去查詢存貨量。
* * *
另外,不少人喜歡把手機號碼作為二步認證的其中一個驗證因素,這個用起來雖然方便,但如果你本身已經有軟件認證的 Authenticator 應用程式,又或是硬件認證的安全金鑰,不妨考慮把手機認證這個因素移除,又或是加上可靠朋友的手機號碼做認證。在 Google 的戶口,也可以考慮把 Google Prompt 關掉,至於備用驗證碼,也建議寫在安全的地方,例如告訴可靠的朋友,沒必要放在家裡或身上。
登入戶口當然麻煩了,但謹記一點,如果你總是不用做任何登入步驟,就能自動進入戶口,代表的不只是方便,還有漏洞。
———
照片:幾部老爺智能手機,是 Treo 系列,分別是 650 及 680,都算是我用過的手機裡,最讓人懷念,但又完全不想再重用的智能手機,攝於 2010 年 5 月。
———
* 想追看薯伯伯的文章,請設定本 Page 為「搶先看 / See First」*
Instagram 🥑🥭🍉🍌: pazu
新博客:http://pazu.com/blog
另外還要提一提大家:
【新書速報】Pazu 薯伯伯《不正常旅行研究所》(白卷出版社)——從西藏拉薩到神州大地;由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。
在旺角序言、北角森記、誠品書店及各大書店,均有代售!其中在旺角序言及北角森記,有少量簽名版本。
安全金鑰apple 在 林建甫 Facebook 的最佳貼文
2017-04-12╱工商時報╱第A6版╱政經八百╱台灣經濟研究院院長、台大經濟系教授林建甫
《學者觀點》APPLE PAY 帶動台灣行動支付發展
根據金管會5日的統計,3月29日才上路的APPLE PAY綁卡張數已達41.5萬張,但「台灣行動支付公司」發行的T-WALLET行動支付,俗稱台灣PAY,用了7個月時間卻只有綁定3.3萬張信用卡,台灣PAY完敗,引發各界討論。
本質上APPLE PAY與台灣PAY都是透過行動裝置綁定信用卡,結合近場通訊(NFC)技術、指紋辨識等功能的行動支付,大幅簡化消費的過程,同時也有不用帶現金、實體信用卡,不用簽名且信用卡資訊不會保存在店家等優勢,某種程度可看成信用卡載具的變革。
但進一步來看其實兩者的核心技術不太一樣。APPLE PAY、SAMSUNG PAY、ANDROID PAY等是利用智慧型手機或行動裝置本身所設計的行動錢包來綁定消費者手中既有的信用卡,通過線上註冊,銀行核卡等申請,就能用「手機中的信用卡」消費。
而台灣PAY是使用GOOGLE的「HCE(HOST CARD EMULATION,主機板模擬)」模式,透過「代碼化(TOKEN)」技術,將安全元件置放在雲端支付平台,並透過網路定時(例如1小時)發送一次性加密金鑰來驗證手機安全性與合法性。簡單來說,「HCE」把所有資訊放在雲端,因此只要手機有NFC就能用,不限定手機廠牌,缺點是必須維持網路連線才能完成支付程序,而APPLE PAY在沒有網路的環境中也能完成刷卡。
公允而言,台灣PAY安全性、彈性都比APPLE PAY更好,而且不只能綁信用卡,還可以綁定金融卡,各方面來看,應該獲得比APPLE PAY更多的使用者。但實際情況卻事與願違。因為台灣PAY必須先下載APP,使用時必須打開手機輸入密碼登入該APP後再點選相關卡片付款,有點小麻煩。難怪下載「T WALLET + 行動支付」的用戶對該APP的評價普遍來講都不高,給1顆星相當多。
另外由於國內銀行對於APPLE PAY的競爭十分激烈,形成買方談判籌碼被各個擊破,主導權完全在APPLE的「賣方市場」。目前APPLE與國內7家銀行簽定三年合約,但合約期滿APPLE將根據該行的發卡績效以及消費量,來決定是否續約及抽成費用比率。一旦發卡量未達標準,不僅抽成費率提升,還可能面臨無法續約的窘境。除了APPLE PAY的強勢,這兩年進軍行動支付的LINE PAY也有許多不公平的情事。行動通訊軟體LINE在台灣有超過1,700萬的用戶,全球密度第一,但LINE在台灣沒有實體客服單位與電話,只接受線上申訴,消費者只能被動等待,甚至是「已讀不回」。
同時LINE使用條款訂下許多不合理的條文,例如:LINE可以不用通知客戶,直接對任何帳號停權、終止或變更服務,且用戶所購買貼圖、代幣也不用復原。另外,使用者條款明訂東京法院為管轄法院,以日本法律為準據法,若發生消費糾紛,規定消費者要打跨海官司。這些不平公的條文或模式,消基會早在2015年就提出,但迄今LINE仍沒改善或回應。
台灣電子支付與行動支付的發展相當落後,根據金管會2016年「金融科技發展策略白皮書 」指出,台灣電子支付比率為26%,遠低於鄰近國家南韓77%、香港65%、中國56%和新加坡53%,發展起步相對晚了許多,我們如何追上其他國家,是大家應該面對的大課題。
現在APPLE PAY的風行剛好可以帶動台灣電子支付的發展。政府應該思考整合民間企業力量共同來融入這個新創的浪潮。這次APPLE PAY事件也突顯台灣企業規模不足,力量分散使得談判落於弱勢,只能被動接受APPLE所提出之不平等合約的現況。因此建議政府要硬起來,匯合企業與消費者的力量,增加談判的籌碼,不要讓錢都給這些國際大企業賺走了。
另者,培植台灣企業的發展來與APPLE PAY競爭,也是應為的策略。未來發展科技簡化台灣PAY的支付模式,讓更多的人樂意使用台灣PAY。而鼓勵店家設置更多的感應讀卡機,讓刷卡機的聯通,結合悠遊卡功能、以及做儲值、交易、轉帳功能的整合,做商店通路的拓展,都是廣泛必要的行為。
https://ctee.com.tw/News/Expert.aspx?newsid=9006&cateid=ljp
安全金鑰apple 在 台灣物聯網實驗室 IOT Labs Facebook 的精選貼文
台灣支付環境 3大挑戰
2015年06月21日 04:10 張奇
針對近期在台灣持續受到關注的第三方支付,立法院於2015年1月通過第三方支付專法《電子支付機構管理條例》,台灣迎接行動支付市場,預計5月將通過子法,非金融業者,如:電商、遊戲等業者搶食千億商機,未來在新的Internet線上線下網路支付、近端遠端行動支付、小型商家交易、新興無線網路下都可以消費與交易,大幅提高消費的方便性、安全性與到貨的速度。
此也將改變人們的消費方式及跨界競爭範疇,如團購網下單及付款、叫計程車折扣促銷、親友發紅包,未來甚至可以買車子、房子:這些情境在國際先進國家或中國大陸都已經真正發生;然而,台灣即將搭上這列「數據金融」火車的同時也將帶來許多挑戰。
第三方支付就是電子支付,是指在交易雙方當事人(買方及賣方)間建立一個可信的支付平台暫存,等到買方取得及確認商品後,再由這個第三方將貨款交給賣方,也就是為買賣雙方提供款項代收代付服務。其中,「線下實質交易服務」是開放重點,意即第三方支付不僅可用於網路交易,還延伸至實體世界交易,未來虛實整合創新商業模式將會使你我生活消費中更高度的使用手機及塑膠貨幣。
商家及票證益處大
國內網購市場中有許多中小型商家,這些商家並沒有能力提供現在電商最受歡迎的信用卡模式,然而在新的電子支付方式出現,可以提供雙方更便捷的支付平台與保障,目前已有業者推出一日撥款機制,相較於過去一個月的撥款天數,未來中小型賣家的資金周轉壓力有機會大幅下降,從Apple Pay、Google電子錢包及Line Pay等透過手機支付的趨勢來看,未來手機必將成消費的主要載體,而買賣雙方只要下載app,就可以進行交易並使用第三方支付方式,因此未來個人賣家使用的機率可能也會大增。
估計台灣消費者使用支付卡片在實體商店消費次數比不到4成情況下,而擁有5,000萬張的悠遊卡及各擁有1,200萬張以上iCash及Happy Go卡而言,未來替代民眾以現金支付的市場相信極其龐大;另從日韓發展經驗來看票證業者(卡片模式)在電子錢包發展初期,也具優勢,主要是因為民眾會因為原本使用卡片的「目的性」,例如:交通而去儲值,此外,民眾也會考慮其「信任度」,因此在百花齊放的各類第三方支付工具選擇下,現有電子票證業者應有相當機會。
跨境交易商機多
觀察目前草案中的跨境規範,今年開放後將帶來許多O2O商機,例如陸客未來在台百貨公司或商店購物,可用中國大陸的第三方支付工具支付寶消費,相對而言未來台灣消費者去中國大陸旅遊,也可以用台灣的第三方支付工具去當地消費。對於金融業者而言,未來將可扮演「跨境代收轉付」的角色。例如陸客在台購買商品,透過支付寶進行人民幣扣款後,將人民幣兌換成美元交給台灣銀行業者,然後銀行再將美元兌換成新台幣,交付給店家。
此外,對於台灣的電商業者而言,未來如果想要到對岸或其他國家發展,第三方支付可說是他們的秘密武器,因為相較於最受消費者喜愛的信用卡模式,在跨境時需要另外支付1.5%以上的刷卡成本,如果用網路ATM轉帳也要新台幣200元以上手續費,然而如果以第三方支
付工具來消費,其成本為零,也因此對其跨境的電商發展極其重要。
支付環境挑戰高
第一點,台灣消費者在網購的支付習慣需要被教育改變,台灣網購者使用信用卡比重高達7至8成,主要是偏愛信用卡能分期付款的便利性及可避免被盜刷的風險,因此如果未來第三方支付業者要使消費者有更高的信心或誘因去使用它勢必需要一段時間來教育民眾。反而在遊戲業者的第三方支付或許有較快滲透的機會,主要關鍵是交易虛擬寶物的習慣已經廣植於重度遊戲者,也因此在不用去ATM轉帳,有一個方便的工具且由其信賴的遊戲業者提供平台,相信會有喜愛虛擬寶物的使用者啟動使用並加以儲值。
第二點,資金與交易細節追查不易,線上支付一般通過金鑰認證(如Apply Pay採用發出一個Token來認證),因此交易者身份及交易明細可能不容易監管。此外,電子支
付的確能夠有效管理地下經濟,如夜市或餐廳消費等,但要完善與更改這些
結構問題,並非一年之功可期。
第三點,國內金融機構紛紛布局第三方支付工具,但卻不被兆元市場的電商大廠青睞,主要是因為掌握金流就掌握電商命脈,所以不論是網購業者PChome或遊戲業者歐賣尬等,都要親自掌控第三方支付工具,也因此金融機構切入無門下,只好自己成立網購平台,後續金融機構在境內與境外的第三方支付角色的扮演與挑戰值得持續關注。
資料來源:http://www.chinatimes.com/newspapers/20150621000129-260204