淺談雙重驗證及黑客盜取帳戶手法

自從手機應用日漸普及,擁有 Facebook 及 Instagram 等社交帳號的用戶也越來越多。但與此同時,被黑客入侵盜取帳戶的個案也不斷上升。早期的手機應用程式,只需要輸入帳戶名稱密碼來核實身份。面對這程度的保安,黑客有很多方法可以破解盜取您的帳戶。其一,可利用解碼軟件重覆試驗密碼,這方法稱為暴力攻擊。其二,可以利用釣魚郵件,冒認是官方發出的郵件,欺騙用家輸入密碼,這樣黑客就可成功盜取您的帳戶。

為了加強保安,很多社交平台近年開始提供雙重驗證技術。雙重驗證採用了兩種不用性質的身分驗證方法。首先第一步驗證用家要輸入帳戶名稱密碼,第一步成功驗證之後,還需要有第二步驗證。第二步驗證可以是利用保安編碼器(一般香港網上銀行服務都有使用),或是由手機短訊發出的一次性密碼,用家收到短訊後,再將一次性密碼輸入到應用程式中,就能成功登入應用。

無奈地道高一尺、魔高一丈。近年一些黑客可以通過將目標帳戶的電話號碼,重新註冊到不同的SIM卡,籍此來竊取您的手機短訊,這樣就可以使用它來重置密碼,成功竊取您的 Facebook 或 Instagram 帳戶。由此可見,手機短訊驗證也不一定安全。除了手機短訊驗證之外,Facebook 的雙重驗證可以配合如 Google AuthenticatorDuo 等應用程式,將您的手機變成保安編碼器。每次登入帳戶時,需要在您的手機提取雙重驗證碼,才能成功登入,除非黑客搶了您的手機,否則他是沒有辦法盜取帳戶的。

寫這篇文章時,剛巧看到外國網站 TechCrunch 的一篇文章,提及到關於 Instagram 帳戶保安問題。原來早期 Instagram 是沒有任何雙重驗證的保護,黑客看準了這點,成功盜取一些知名人士的帳戶,並將其轉售圖利。後來 Instagram 終於加入了手機短訊的雙重驗證,但是至今也仍未支援非SMS的雙重驗證。訪問中 Instagram 官方表示正在開發能支援 Google Authenticator 等等的驗證系統。希望他們能加快進度完成,能夠跟 Facebook 看齊吧。


Also published on Medium.

Leave a Reply

Your email address will not be published. Required fields are marked *

3 × 1 =

This site uses Akismet to reduce spam. Learn how your comment data is processed.