Spaceship 博客

為甚麼 2FA 應成為你首要的電郵保安習慣

它在 90 年代發明(並普遍被認為歸功於 AT&T),但直到 2000 年代中期才開始普及。雙重驗證(或更常見地稱為 2FA)概念非常簡單,幾乎可說是優美——把你知道的東西與你擁有的東西結合起來。

問題與解決方案

問題:

一直以來,只有使用者名稱和密碼阻隔着我們的資料與未經授權的存取。我們的帳戶本質上就像一扇無人看守的門,隨時 24/7 都可能在我們不知情下被攻破。更糟的是,使用者名稱幾乎總是有規律可循,而密碼也可能很容易被猜中,因為我們都傾向想到相似的內容。

例如,對另一個人來說,單一字詞可能很難猜中,但由於英語中的字詞數量有限,對電腦而言卻出奇地容易。這就是為甚麼很多網站要求我們用字母和特殊字元來加強密碼。但隨着黑客軟件愈來愈先進,加上現在 AI 的出現,即使這樣也不足夠。記住,你帳戶的那扇「門」在網絡世界中 24/7 都可被發現。

解決方案:

透過使用某種理論上只可能由你持有的東西,來驗證登入的人確實是。這可以是智能手機、電郵帳戶、金鑰,甚至生物識別資料。無論使用哪種方法,2FA 都能阻止未經授權的登入嘗試,並讓你採取行動減輕進一步入侵的風險。

沒錯,這可說是升級版的身份檢查——就像在打開門閂前先從防盜眼看看門外一樣——但細想之下,它的實作其實相當巧妙。2FA 為帳戶帶來的安全性與警覺性,令它的價值超越各部分的總和。

那麼,為甚麼它花了這麼久才普及?這很可能只是多年來網絡犯罪逐步增加、人們擁有次要裝置的情況愈來愈普遍,以及網絡罪犯可運用的運算能力提升等因素的綜合作用,令它要等待時機成熟才大放異彩。亦有可能是因為大家擔心次要裝置會遺失。

我們多年來看到 2FA 表現出色的領域

銀行及金融應用程式多年來一直在使用它。不過,如果你還未留意到它已逐漸延伸到你較「日常」的帳戶,你很快可能就會看到。隨着黑客技術愈來愈先進,而數據公司保護我們資料的責任亦日益加重,這項功能正逐步推出。

例如,讓我們從電郵帳戶的角度看看 2FA。直到現在,你可能仍覺得為電郵帳戶啟用 2FA 有點麻煩,或是過分謹慎——但我們會說服你,為甚麼這樣做非常值得,尤其如果你是做生意的話。

為甚麼要加入 2FA 來保護你的電郵帳戶?

首先,除了密碼之外再加上一層保護,從來都不是壞事。現在,停一停,想想你的電郵帳戶內包含哪些敏感資料:

  • 銀行資料——這類資料你多年來在其他地方早已用 2FA 保護。

  • 個人附件——相片、文件,甚至是你希望擁有知識產權的創作。

  • 購買記錄——以及其他對廣告商可能有價值的資料。

  • 醫療資料——預約、藥物,甚至病況的記錄。

  • 房地產資料——買樓及其他類似的重要流程,很多時都已無紙化。

而且,正如我們提到,如果你是做生意的,這些資料幾乎肯定還包括你客戶的資料。在有 GDPR 等規例的國家,保障這些資料安全是法律責任。所以,保護電郵聽起來已經是理所當然的事,而我們甚至還未說完!

保護你的電郵安全,也許最關鍵的原因是它是你許多其他帳戶的入口。多年來,它一直是重設密碼的常見方式。任何能存取你電郵的人,只需閱讀你的訊息,找出你在哪些網站有帳戶,然後在那些網站進行「忘記密碼」流程即可。

對幾乎所有較小型的網站來說,已登記的電郵帳戶就是阻止他人存取你帳戶的唯一屏障。這可能意味着,在你甚至未察覺帳戶被入侵之前,你的許多帳戶已經遭到入侵。

輕鬆為你的帳戶加入 2FA

好消息是,為大多數電郵帳戶加入 2FA 其實非常容易。商務或專業電郵帳戶尤其有可能提供這項功能。啟用流程通常很簡單,而且設定非常快捷,特別是如果你已經有用於其他應用程式的驗證器。

我們會以 Spacemail(由 Spaceship 提供,是一個很好的例子)來看看,當中只需按幾下就可以啟用 2FA。

  1. 登入你的帳戶

  2. 按一下畫面右上角的設定齒輪。

  3. 在第二個方塊中按一下「Launch security center」。

  4. 在分頁中按一下 TWO FACTOR AUTHENTICATION。

  5. 從兩種支援的 2FA 類型中選擇其一。

別忘記封住其他入口點

在主要登入加入 2FA 當然很好,但如果你在手機上把電郵帳戶連接到某個應用程式(例如 Outlook 或 Gmail),那麼很大機會你還有另一道後門可進入電郵帳戶。

用來啟用這項功能的通訊協定包括 IMAP、SMTP 和 POP3。如果已啟用,便可透過應用程式設定存取你的帳戶,從而繞過你已設定的 2FA。為確保安全,如有可能,請停用這些通訊協定。

至於 Spacemail,目前正在開發應用程式,預計於今年稍後推出。這將讓你可在智能手機等裝置上輕鬆存取郵件,同時不會犧牲安全性。

2FA 的類型

說到「2FA 的類型」,讓我們更仔細看看它們是甚麼,以及它們在 Spacemail 中如何運作。廣義而言,2FA 有三種類型,而每一種都使用不同的驗證方式。

「你知道的東西」

這包括額外的 PIN 碼或保安問題等。這些資訊理論上只有你自己知道——但在很多方面,其實與密碼沒有太大分別。這是一種較舊式的 2FA 形式,現正逐步被以下方法取代。

你可能還記得幾年前有人建議你選擇假的「母親婚前姓氏」或「第一隻寵物名字」,以免別人猜到或查到你的答案。

由於相對不夠安全,Spacemail 不支援這種方法。

「你是甚麼」

我們剛才已簡單提過。這類 2FA 依賴生物識別資料,例如指紋、面容識別和語音識別。當次要裝置未必是最佳選擇時,這會很有用;例如很多情況下,我們使用的智能手機本身就是次要裝置。

生物識別可讓你透過自身進行第二重驗證。不過,這通常需要額外的感應器,而這些感應器一般只見於較新及較高階的裝置。

「你擁有的東西」

大多數 2FA 都屬於這一類,Spacemail 提供的兩個選項亦然。這些方法要求你持有特定裝置或物件,而實行這種方法有幾種方式。

TOTP(基於時間的一次性密碼)

由驗證器應用程式產生的代碼可提供安全登入。你可以使用驗證器應用程式,或透過 SMS/電郵接收一次性代碼。至於 Spaceship,TOTP 只允許透過驗證器應用程式使用,因為這樣安全得多。

U2F(通用第二因素)

U2F 使用公開金鑰密碼學,因此更安全,亦更能抵禦網絡釣魚。它不需要手動輸入代碼。你只需把硬件金鑰(例如 YubiKey)插入裝置即可。這還有一個額外好處:如果有人偷走你的智能手機,仍然需要另一個裝置(金鑰)才能存取受 2FA 保護的帳戶。

應該選擇哪種方法

U2F 一般被認為更安全,因為裝置具防篡改能力,而且加密程序會綁定到特定網站或應用程式。這可確保即使用戶被誘騙到假網站,驗證亦會失敗,因為假網站無法複製所需的安全連線。

當然,購買 U2F 金鑰涉及成本,但就你的安全而言,這可能是值得的。

2FA 是均衡安全習慣的一部分……

人不能單靠 2FA 而活。它不能取代全面而良好的保安做法。我們的電郵帳戶特別容易成為網絡釣魚及惡意軟件攻擊的目標。諷刺的是,別人甚至毋須登入你的帳戶,也能以這種方式構成威脅;他們只需寄出一封電郵。

這就是為甚麼,提供其他防範電郵威脅的保護的帳戶,尤其是反垃圾郵件過濾器,同樣是明智的投資。透過阻止你看到含有社交工程陷阱或惡意軟件的電郵,你甚至不會接觸到對你安全構成最大風險的內容。今天就為你的帳戶啟用 2FA;如果你發現它不支援,請考慮轉用支援 2FA 的服務

常見問題

2FA 是 Two-factor authentication 的簡稱。最常見的 2FA 方法會透過結合你知道的資訊(你的使用者名稱和密碼)與你持有的物品(最常見是智能手機或金鑰),為登入加入額外一層安全保障。這表示如果有人提出任何未經授權的登入要求,你都會收到通知。

當你存取帳戶時,2FA 會驗證你的身分。這樣做的同時,如果其他人正嘗試登入,你也會收到通知。電郵帳戶特別容易成為網絡罪犯的目標,因為其中包含大量敏感資料,而且亦可透過標準的「忘記密碼」流程成為進入其他帳戶的入口——而這個流程非常依賴已登記的電郵地址。

許多帳戶,尤其是為商業用戶而設的帳戶,都已將它列為標準功能。通常只要進入安全設定便可輕鬆完成設定。如果你已經有正在使用的驗證器應用程式或金鑰,通常會更快完成。

是的,2FA 有幾種類型。最常見的是使用智能手機或 U2F 金鑰(獨立裝置)之類的裝置。生物識別也算作第二重驗證因素,而較舊式的安全問題(例如「母親的娘家姓氏」)在技術上也算,但由於很容易被猜中,現時已很少使用。

登入你的帳戶。點擊畫面右上角的設定齒輪圖示。點擊第二個方框中的「Launch security center」。在分頁中點擊 TWO FACTOR AUTHENTICATION。從兩種支援的 2FA 類型中選擇其中一種。


推薦文章

分享您的想法

需要超過 10 個字符。
您的公開顯示身份。
提供您的電子郵件地址是可選的。它不會與第三方共享。

幫助我們改進博客

在快速的兩分鐘調查中分享您的想法。

必須提供有效的電郵地址