帳號及密碼登入已過時
上周新聞報導有Whatsapp用戶帳戶被盜。事主收到朋友的訊息,聲稱錯發短訊給事主,並叫事主轉發短訊內的6位數字密碼。訊息來自相熟的朋友,事主不虞有詐,將資料轉發,結果WhatsApp 帳戶馬上被人騎劫。資訊安全專家呼籲用戶小心同類訊息及連結,並開啓雙重認證云云。明顯地,事主友人帳戶已被入侵,從而取得事主電話號碼,短訊正是事主自己帳戶的重設密碼。一旦事主帳戶被黑,騙徒就會借用其身份行騙其聯絡人。今天數碼世界的高聯繫性,個人不小心就可牽連親人朋友。其實這行騙招式已被利用多年,仍有人中招,當然用家有一定責任,但大部份人都沒有意識到登入方式與帳戶被盜的風險有莫大關係。大眾慣於利用帳戶及密碼,但這種登入方式已經沿用幾十年,當初是基於一個不開放的系統而設計,並假設擁有連接系統的設備、帳戶名稱及密碼就是帳戶擁有者。但隨著科技及互聯網發展,這個假設已無法成立,不但網絡全面開放,更可能因為其它原因令帳戶及密碼可落入他人之手,包括被人偷取、系統安全漏洞、內鬼、黑客入侵等。那些利用電話號碼作帳戶名稱的登入,電話號碼基本上已在公眾領域,騙徒只欠密碼。
新設計「零信任」系統
如果軟件除了帳戶及密碼之外,還需要一個已認證的裝置,軟件在執行時經常檢查是否仍是使用同一裝置,這樣要盜取帳戶便要同時取得裝置。事實上這個概念並不是甚麼新事物,業界稱之為「零信任」(Zero Trust)。「零信任」的原則就是「永不信賴,總要核實」,即帳戶的存取不應基於簡單的帳號及密碼,而是要利用其他因素,且要不斷核實使用者身份。這個原則引申出新的系統設計。首先,登入是基於已認證的身份。這個已認證身份可以是一個已認證的硬件裝置,又可以是一個通過身份驗證的帳戶連結。登入後亦需要連續性認證,尤其是執行重要動作前。未能利用已核實身份的情況,需要考慮帳戶及密碼登入時加入第二次認證(2nd Factor Authorisation 簡稱2FA)。再有,在系統設計時,應充份考量登入者所需要的權限,並只授權完成工序的最少權限。舊有系統在設計上欠缺相關考慮,帳戶一旦被入侵,帳戶又擁有超越需要的權限,例如讀取在系統內與使用者不相關的儲存,可令損失擴大。「零信任」已是大方向,各大企業紛紛採納。去年美國白宮發出行政指令,要求聯邦政府加快採取「零信任」架構。按科技顧問公司Gartner統計,到2025年最少七成的新遙距登入將基於「零信任」,並取代VPN登入方式。
用家應留意相關發展
所以「零信任」與你息息相關。即使現行的服務或軟件未全部轉用,但趨勢不用忽視。筆者建議一般用戶採取下列行動。首先,整合一個帳戶登入的清單。帳號儘可能利用無明顯識別的帳戶名稱,利用電話號碼作為帳戶名稱可免則免。你應了解重要帳戶的密碼重設方式,利用語音或收取SMS作帳戶重設的需尋找替代方案。現時很多服務已提供「二次認證」,包括流行的通訊軟件、電郵、雲端服務等,請按清單逐一檢視,有提供的馬上啓用,否則考慮改用其他服務。「二次認證」碼管理器,儘量與登入裝置分離。避開使用以SMS收取的認證碼。使用硬件認證器則小心保管。越來越多服務將採用「零信任」系統,用家可留意使用中的服務有否提供裝置認證。如該服務已擁有你的大量資料,可考慮啓用。有一些比較進取的情況,可能只確認裝置而不再需要輸入帳戶及密碼,取得裝置等同取得帳戶,有必要留意加強保管裝置及裝置登入,尤其該裝置是手機。使用新服務前,留意該服務有否「零信任」策略。
通常如何處理密碼是一個訊號,任何以按連結就可重置的密碼,即代表系統有「鎖匙」可將你的資訊解密,若服務提供者不應知道資訊的內容,這已是非「零信任」系統的訊號,要進一步研究。
除了認識各種資訊威脅外,大眾應留意科技新發展,新工具利用得宜,可助你快人一步,應對風險。一般用家很難在資訊安全做到滴水不漏,但騙徒通常捨難取易,只要你較有防避,你便可避過損失。 ◇
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
