Quantcast
你是怎麼認證帳號的?FBI 發出警告:「這種」雙重認證超級容易被駭! - 洛杉磯週報 - 亞洲版

在網路相當發達的現在,資訊安全是保護個人隱私最重要的一環,不過,當我們以為雙重認證(2FA)是保護網路帳號的最佳方式時,最近聯邦調查局(FBI)的資安警告讓人不得不重新審視常用的方法。

FBI 和美國網路安全與基礎設施安全局(CISA)最近強烈建議用戶,停止透過簡訊(SMS)接收雙重認證碼,以防止個人資訊被駭。

簡訊認證看似安全,實則漏洞百出

圖片來源:shutterstock

根據 FBI 的說法,來自中國的駭客最近成功侵入 AT&T、Verizon 等電信網絡,攔截簡訊內容,而這些內容就包括用戶的雙重認證碼。由於 SMS 訊息並未加密,任何掌握電信網絡訪問權限的惡意攻擊者,其實都可以輕鬆截取並閱讀這些訊息。

CISA 在最新的備忘錄中指出:「簡訊不是釣魚攻擊(phishing-resistant)的驗證方式。」他們警告說,在涉及高價值或高風險的帳戶時,這種方法無法有效防止駭客。

更安全的替代方案

圖片來源:shutterstock

那究竟要怎麼做才是最安全的呢?對此,CISA 和 FBI 都建議用戶採用以下更安全的雙重認證方法。

認證應用程式

使用像是 Google Authenticator 或 Microsoft Authenticator 這類應用程式,它們生成的驗證碼儘管比 SMS 安全,但仍有潛在漏洞。

FIDO 認證和密碼鍵(Passkeys)

這種方法被認為是目前最安全的驗證方式,可防止駭客透過中間人攻擊攔截資料。

其他建議

除了以上兩種認證方法,大家也可以使用密碼管理工具建立、並且保存強度較高的密碼,除此之外,為設備設定 PIN 碼,以及定期更新個人設備以即時補救可能存在的安全漏洞。

駭客攻擊規模可能更大

這場駭客攻擊被命名為「鹽颱風」(Salt Typhoon),專家警告它的影響範圍可能比最初預估的更大。CISA 的資安主管 Jeff Greene 坦言,目前無法確定攻擊者是否已完全從受感染的網絡中移除。

「我們正在積極追蹤,但無法有信心地說我們掌握了全部情況。」格林強調,這場網絡威脅可能仍在持續中。

雖然有些線上服務仍然只提供簡訊作為雙重認證的選項,但專家建議,當有其他選擇時,務必選擇更安全的方式,不僅能降低駭客攻擊的風險,也才能更有效保護用戶的個人資訊。