輸入密碼多重威脅

特區政府22年實施電話卡實名制,原意是打擊電話騙案,結果電話騙案大增,市民天天受到大量來歷不明的懷疑詐騙電話騷擾。政府推「防騙視伏」,但本地釣魚網站不跌反升。11月初香港網絡安全事故協調中心發表第三季報告,位於香港或利用香港網域的釣魚網站趨勢持續上升,由23年第三季的722宗上升至24年第三季的2,712宗。釣魚網站之所以堵截不盡,當中的問題部份是源自帳戶以輸入密碼方式登入的設計,給釣魚有機可乘。以輸入密碼模式核實身份,並假設密碼擁有者就是帳戶擁有人,是Web 1.0的產物。這個舊式登入方法已經過時,除了密碼可被偷取,在管理上亦衍生風險。大量帳戶需要大量密碼,用家常常重複使用或套用特定方式設計密碼,容易遭破解。網站將密碼系統地儲存,給予黑客明確目標,大量密碼外洩,暗網就有幾十億帳戶及密碼資料出售,人工智能學習後加速破解其他密碼。因應Web 3.0,其實登入方式已重新設計,不再使用密碼而改用其他較穩妥的方法,Passkey是其中之一都有。事實上,兩大手機作業平台都提供Passkey登入,並鼓勵供應商及用戶使用。各大電郵、網購平台、社交媒體登入亦已支援Passkey登入。

認識Passkey運作

使用Passkey前先了解其運作。若你的登入服務支緩Passkey,當你啟用服務時便會生產一對加密鎖匙,一條是公開鎖匙放在伺服器,另外一條是私密鎖匙放在你的裝置內。當你登入網站頁面啟動Passkey登入時,伺服器便發出一個隨機的「挑戰」(challenge),你的裝置收到後便利用私人鎖匙簽署,伺服器利用公開鎖匙就能解讀簽署,繼而允許登入。每次登入發出的「挑戰」皆不同。在設計上黑客無法再針對伺服器,因無密匙可偷。釣魚網站再無法運作,一來你沒有輸入密碼,二來釣魚網站無法回應「挑戰」因為沒有你的私密鎖匙。你或許會問,釣魚網站能否作為中間人,將登入「挑戰」轉交給你?答案是不能,因為Passkey生產時是網域綁定(Domain Binding),即網域的身份資料將會儲存於Passkey之內,在核實過程中,你的瀏覽器或軟件將會檢查你連上的網域然後與儲存在Passkey內的資料核對,若你連上的是釣魚網站,網域跟登入帳號網域不同,瀏覽器或軟件無法對應Passkey而拒絕釣魚網站的要求。在實際使用上通常還有一重額外保障,就是當瀏覽器或軟件回應「挑戰」時,可能要額外輸入認證或密碼。即使有人取你的裝置控制權,亦要多過一關,才可啓動登入。

(SAEED KHAN/AFP/Getty Images)
(SAEED KHAN/AFP/Getty Images)

使用前做足準備功夫

Passkey在技術層面上穩妥。但實際使用上用家還要留意多點。首先是集中性風險,用家基本上把密匙集中放在一個裝置或帳戶上,裝置的門禁就變得關鍵門禁。所以必須確保裝置物理安全及帳戶安全,包括使用強勁密碼,避免使用PIN,使用二次認證等。若使用Passkey時要求額外核准例如輸入PIN,盡量使用與裝置不同的PIN。其次是選擇穩妥的裝置,最好選擇國際大品牌並附有安全硬件的型號,例如Trusted Platform Module 或Secure Enclave,可確保Passkey穩妥儲存,不被抽取。避免使用你不全權控制的裝置,例如公司提供或與家人共用的裝置。切勿胡亂安裝軟件,雖然一般釣魚無法運作,但萬一裝置中毒或軟件有後門,不排除你的裝置被控制而直接登入帳戶。其四,你需要有一個穩妥的備份方案,萬一失去裝置或裝置損壞,你仍然有復原方法。最後用戶要留意絕大部份網站依然支援傳統輸入密碼方式,且無法取消這種登入方法尤其是你曾利用密碼登入。即使你使用Passkey,網絡釣魚會向目標發出訊息例如「登入失敗,請輸入密碼再試」,用戶需小心。Passkey私密鎖匙難以盜取,黑客便改用其他方法,例如從Cookies入手,嘗試挾持你已經登入的Session,所以緊記使用完畢後登出帳戶,離開瀏覽器時清理Cookies,減低風險。

隨著Web3.0的來臨,取代輸入密碼登入的趨勢已逐漸形成。即使你暫時不打算使用Passkey或類似方法登入,了解這個選項及其運作仍是好事,當你有需要時候就可快人一步,提升資訊安全。◇

 

 

------------------

⏪️ 回顧2024專題報道👇🏻
https://hk.epochtimes.com/tag/回顧2024

🔔下載大紀元App 接收即時新聞通知
🍎iOS:https://bit.ly/epochhkios
🤖Android:https://bit.ly/epochhkand