在網路相當發達的現在,資訊安全是保護個人隱私最重要的一環,不過,當我們以為雙重認證(2FA)是保護網路帳號的最佳方式時,最近聯邦調查局(FBI)的資安警告讓人不得不重新審視常用的方法。
FBI 和美國網路安全與基礎設施安全局(CISA)最近強烈建議用戶,停止透過簡訊(SMS)接收雙重認證碼,以防止個人資訊被駭。
簡訊認證看似安全,實則漏洞百出
根據 FBI 的說法,來自中國的駭客最近成功侵入 AT&T、Verizon 等電信網絡,攔截簡訊內容,而這些內容就包括用戶的雙重認證碼。由於 SMS 訊息並未加密,任何掌握電信網絡訪問權限的惡意攻擊者,其實都可以輕鬆截取並閱讀這些訊息。
CISA 在最新的備忘錄中指出:「簡訊不是釣魚攻擊(phishing-resistant)的驗證方式。」他們警告說,在涉及高價值或高風險的帳戶時,這種方法無法有效防止駭客。
更安全的替代方案
那究竟要怎麼做才是最安全的呢?對此,CISA 和 FBI 都建議用戶採用以下更安全的雙重認證方法。
認證應用程式
使用像是 Google Authenticator 或 Microsoft Authenticator 這類應用程式,它們生成的驗證碼儘管比 SMS 安全,但仍有潛在漏洞。
FIDO 認證和密碼鍵(Passkeys)
這種方法被認為是目前最安全的驗證方式,可防止駭客透過中間人攻擊攔截資料。
其他建議
除了以上兩種認證方法,大家也可以使用密碼管理工具建立、並且保存強度較高的密碼,除此之外,為設備設定 PIN 碼,以及定期更新個人設備以即時補救可能存在的安全漏洞。
駭客攻擊規模可能更大
這場駭客攻擊被命名為「鹽颱風」(Salt Typhoon),專家警告它的影響範圍可能比最初預估的更大。CISA 的資安主管 Jeff Greene 坦言,目前無法確定攻擊者是否已完全從受感染的網絡中移除。
「我們正在積極追蹤,但無法有信心地說我們掌握了全部情況。」格林強調,這場網絡威脅可能仍在持續中。
雖然有些線上服務仍然只提供簡訊作為雙重認證的選項,但專家建議,當有其他選擇時,務必選擇更安全的方式,不僅能降低駭客攻擊的風險,也才能更有效保護用戶的個人資訊。