什麼是二次驗證?為什麼擁有智慧型手機的大家,都必須了解這項功能?

    二次驗證(Two-Factor Authentication, 2FA)也稱做「多因子驗證」,是一種額外的安全保護措施,除了輸入密碼外,還需要提供另一個驗證方式,才能提供服務。例如:手機驗證碼簡訊(SMS),或是使用驗證APP産生的動態碼,來確認是本人使用此服務。

    舉例來說:您家門的鑰匙就像是您的密碼。雖然鑰匙可以保護您的家,但如果有人偷了您的鑰匙,他們就可以輕易進入。二次驗證就像是在家門上加了一個指紋鎖,即使有人偷了您的鑰匙,他們也無法進入,因為他們沒有您的指紋。

簡訊是目前最常用的二次驗證機制:

(Photo credit: PAKUTASO
 / 写真素材ぱくたそ
    除了上述例子外,我們在生活中即已常用這項安全機制。例如:您在網上購物準備刷卡付款時,輸入卡號之外,還需輸入手機收到的簡訊驗證碼(即所謂發卡銀行的3D驗證),確保刷卡人就是您本人;我們在使用網路銀行轉帳時,也是同樣的道理,請轉帳者輸入銀行發送的簡訊驗證碼,銀行才會受理您的轉帳。

    這樣的二次驗證亦成就了資訊安全的延伸價值:資訊安全的「可鑑別性」、「可歸責性」以及「不可否認性」。而這項身分確認措施,隨著手機的普及,已進展到可以透過手機APP程式就可以達到效果。使用者只要先透過APP與該網站或服務進行QR 碼的配對憑證內容後,即可持續在手機APP上産生動態數碼,以後需要驗證本人身分時,只要打開手機APP輸入動態碼即可完成本人驗證,享受後續的個人化服務,再也不必擔心簡訊等好久都收不到的問題。


以Teams帳號為例說明二次驗證APP:

    以下我們就以公司提供的Teams帳號二次驗證設定方式為例(註1),有了二次驗證機制,就可確保登入者為您本人。首先是登入您的微軟Teams帳號與密碼,然後就會出現「您的組織要求您設定下列證明身分的方法」,

  1. 下載二次驗證APP:如Microsoft AuthenticatorGoogle Authenticator。本例使用Microsoft Authenticator。請先在手機開啟Microsoft Authenticator 然後在電腦上點選 “下一步”,並在手機APP上點選「掃描QR代碼」:




  2. 在設定帳戶:在您的帳戶安全設置中啟用二次驗證,並掃描QR碼(QR碼內含配對憑證資訊,為使憑證不洩露,下圖已經過處理不提供掃描)。




  3. 於下一頁輸入手機APP呈現的動態碼,確認是否配對成功。

  4. 使用驗證碼:每次登入時,當頁面要求輸入驗證碼時,輸入APP生成的驗證碼。

各大雲端服務都已具備二次驗證的功能:

    目前各大網站平台(如:Microsoft、Amazon、Yahoo等)、手機品牌的雲端服務(Apple 的iCloud、Google 的雲端硬碟帳號),均提供二次驗證的功能。雲端空間蒐集了大量的手機照片備份,以及所有程式的資料,若只靠密碼保護,實在是非常危險,尤其公司目前有許多單位都曾使用Google 表單來製作問卷或是收集個資,請大家一定要學著把二次驗證功能設定起來,這樣萬一密碼洩露,或是被駭客破解密碼時,才不會擔心雲端資料被不明人士取得。

社交媒體帳號的保護也可以用:

    除了雲端服務外,社群網站也可以設定二次驗證的功能。若您的社交媒體帳戶啟用了二次驗證,即使有人知道您的密碼,他們也無法登入,因為他們無法取得您的手機驗證碼。

Facebook提供的雙重(2次)驗證功能
手機掉了怎麼辦?

    我們常說手機掉了之後,必須優先從遠端將手機清除,但這時您也失去了這些配對過的資料。不過這並不會造成太大的困擾,目前提供2次驗證的服務公司,通常都會有提供「嘗試以其他方式登入」的方式讓您進入帳號設定頁面(就如同忘記密碼一樣),重新用新的手機再配對一次。若您使用的是2023年4月後的Google Authenticator 版本,Google還會幫您把這些配對資料備份到雲端,待您啟用新手機後就可以進行復原後,繼續使用該程式進行驗證了。




註1:公司Teams帳號需向資訊單位申請。詳請請洽資訊處同仁。

留言

張貼留言

這個網誌中的熱門文章

(科技與法律)用AirTag 追蹤器跟蹤別人,是否違反個資法?

圖片
在當今數位時代,定位資訊已成為日常生活的一部分。然而,這些資訊是否構成個人資料?使用 AirTag 追蹤他人是否合法?這些問題涉及個人隱私權、刑法與個資法的適用範圍,值得深入探討。 什麼是 AirTag? AirTag 是蘋果公司於 2021 年推出的一款藍牙追蹤裝置,設計用於幫助使用者找回遺失物品,例如鑰匙、錢包或背包行李箱等等。 AirTag 透過 Apple 的「尋找」(Find My) 網路運作,利用附近的 Apple 設備匿名回報其位置,讓使用者能夠在 iPhone、iPad 或 Mac 上追蹤物品的所在位置。然而,AirTag 也因其小巧隱密的特性,被不法人士濫用於秘密追蹤他人,導致隱私與法律上的爭議。 什麼是個人資料? 根據 《個人資料保護法》第 2 條 ,個人資料指: 姓名、出生年月日、國民身分證統一編號、護照號碼 特徵、指紋、婚姻、家庭、教育、職業 病歷、醫療、基因、性生活、健康檢查、犯罪前科、 聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 而 GPS 長時間記錄的定位資訊可揭示個人的「社會活動」 模式,已被台灣法院認定為間接識別之個人資料。因此,未經當事人同意擅自蒐集、使用 GPS 追蹤資訊,的確有可能違反個資法。 圖:坊間已出現號稱可以維持十年電力的Airtag 追蹤電池盒 使用 AirTag 追蹤他人是否合法? 蘋果公司在其官方免責聲明中強調:「AirTag 設計的目的僅供追蹤物品,而非個人。」若將 AirTag 用於追蹤他人,可能違反當地法律。為防止濫用,蘋果已設計「防追蹤機制」,如 iPhone 會偵測陌生的 AirTag 並發送警告,安卓用戶亦可透過應用程式進行偵測。這使得被害人更容易發現並提出法律訴訟。 相關法律規範與案例 在台灣,未經同意使用 GPS 或 AirTag 追蹤他人,除可能觸犯 《個人資料保護法》第 41 條 外,還可能觸犯 《刑法》第 315 -1條 (妨害秘密罪:「無故以錄音、照相、錄影或電磁紀錄竊錄他人非公開之活動、言論、談話或身體隱私部位者」),最重可處 3 至 5 年有期徒刑。實務案例中, 2014 年「新光公主案」即是一例 。新光集團長公主吳欣盈的配偶為調查其行蹤,在其車輛安裝 GPS 追蹤器,法院最終認定此行為侵犯隱私權,構成妨害秘密罪。 如何合法蒐證? 若有正當需求,建議採取合...
閱讀完整內容

什麼是「零日攻擊」(Zero Day Attack)? 它和資訊安全有什麼關連?

圖片
●零日攻擊? 它不就是明年要開播的台灣電視劇嗎? 前幾個月在政治新聞版面常聽到《零日攻擊》的介紹。這部電視劇獲得大家的注目,主要是因為故事以中國人民解放軍對台採取軍事行動為架空背景,探討台海戰爭時台灣社會可能面臨的狀況。 其實零日攻擊(Zero-Day Attack),又常被翻作「零時差攻擊」,原本是在資訊安全領域上的名詞,指的是駭客利用尚未公開或未修補的軟體漏洞進行的攻擊,因此稱為「零日」。 意指受害者和原廠開發者幾乎沒有時間準備或防範。此狀況與電視劇所刻劃的情境非常類似,即大家每天過著平凡的日子,完全不知道生活環境的「漏洞」早就被敵軍(駭客)所掌握,而一旦發起攻擊時,往往都非常地致命。 這類攻擊通常非常危險,因為它具備下列特性: 未知性:漏洞尚未被公眾或軟體廠商發現。 高效率:攻擊成功率高,且可能造成重大損害。 難以防禦:傳統防毒軟體可能無法偵測到。 ●一般員工同仁(老百姓)能如何防範? 雖然該劇的名稱「零日攻擊」,和資訊安全的術語相同,但劇情似乎更側重於軍事與國際關係,而非單純聚焦於資訊戰或軟體漏洞。零日這個詞被用作象徵性的概念,代表一個「突如其來且難以防範的攻擊」,用來引出劇情中的衝突與緊張局勢。 就日常資安的領域來說,當原廠還未釋出漏洞修補套件前,我們其實能做的並不多。但是大家仍然必須了解,以目前AI與資訊如此發達的世界,以下的現況已是不爭的事實: 漏洞訊息一出,攻擊腳本即現 : 一旦有人發現了漏洞,在駭客的群組或相關資訊網很快就可以看到攻擊此漏洞的POC(Prove of Concept,即攻擊概念的實作有效步驟)。因此我們必須要有危機意識,儘量安全地使用個人電腦,避免讓不明人士透過不明軟體掌握自己的公務電腦。 圖:在網路上只要搜尋 "CVE POC",就可以看到許多漏洞複現影片 許多漏洞連原廠都不知悉 : 近期資安界發的許多資安漏洞,都是透過熱心民眾提供的。這世界總是有一群人喜歡鑽研著名軟體的漏洞,而網路的世界讓他們的成果可以更快速地傳播。 但是,面對這種不明的威脅,是否完全無法防禦呢? 其實各位同仁只要保持下列使用電腦的習慣,就可以減少許多零日漏洞的威脅: 只在信任的網路連結Internet :避免作業系統的漏洞遭到其他陌生人攻擊 只安裝需要用到的軟體 :不讓陌生的軟體取得太多本機的權限。 儘快安裝系統更新 :雖然零日漏洞在原廠發...
閱讀完整內容

機敏文件丢出去,就再也回不來了 ~ 談PDF線上轉檔的資安風險

圖片
我們在工作中,多少都會遇到需要處理PDF檔案的狀況,大到發表調查報告,小到整理支出報核單時的發票憑證,只是為了合併、分割、改幾個小錯字,轉方向等小小的需求,就必須下載「Adobe Acrobat Pro」試用版來使用七天,然後就不能用了。 處理PDF的工作,常常都來得又快又急, 因此許多同仁會想使用線上 PDF 轉檔合併服務 ,才能及早地把報表交出去。但是,各位真的知道文件上傳出去之後,這些提供PDF服務的網站真的會如實地把暫存檔清除嗎? PDFOnlie 是一個大約10年前(2013-2015年間)流行的免費 PDF 線上轉檔服務,使用者可以將檔案上傳到平台進行轉換編輯合併等動作。然而,PDFOnlie 的預設設定是公開檔案,這表示任何人都可以在網上搜尋到這些檔案,包含一些機密文件。許多使用者沒有注意到這個設定,使得任何人都可以在Google 搜尋中打入 XXXX sharepdf, 就可以看到一堆被上傳轉檔的PDF文件。例如: 「履歷表 sharepdf」、「薪資單 sharepdf」等等,驚動了當時的網路界。為此 各政府單位還緊急發送資安宣導 。 線上轉PDF並分享的服務(PDF Online),解決緊急的PDF轉檔需求, 但沒想到許多人上傳檔案後,忘記把檔案設成保密。 這個案例說明了使用線上轉檔服務時需要注意的資安風險。 因為 一旦未加密的機敏檔案交到別人手中,就等於幾乎失去了對這個檔案的控制力。該服務的管理者,要做任何違法侵害的事,都是無法避免的。 另外,根據 台灣電腦網路危機處理暨協調中心(twcert.cc)轉述相關報告 ,PDF本身的加密技術也不完善,主要是市面上的PDF檢視軟體與瀏覽器插件(Plug-in)常被駭客破解。因此若同仁們需要寄送加密的資料,目前最好的方式還是透過其他方式打包加密(如ZIP檔使用AES256加密法) 若真的有常使用處理PDF檔的需求,可申請安裝免費版的離線PDF檔案處理軟體,以避免將資料檔案傳給陌生人。我們會在近期開始宣導並列入管理規範,禁止使用外部的PDF服務網站處理公務,敬請各位同仁協助宣導配合,若有任何需求或諮詢,歡迎隨時與分機88583連繫。 延伸閱讀: 台北市政府資訊局發布之資安宣導 PDF 檔案加密標準發現安全漏洞,常見 PDF 檢視軟體均不安全
閱讀完整內容