看到有人在討論 2FA 以及疑惑必要性,簡單分享一些看法
先講結論:請假設你在網路上、APP 上的所有密碼都已經外洩了
用這種態度來使用各種網路服務!
你註冊過的一些不重要的網站、你根本沒打算再去用的網站,這些沒有關係
但是牽涉到金錢、金融、個資、重要基礎服務的網站、請通通打開 2FA 驗證!
1. 資安問題到處都是
請使用這兩個網站查詢你的信箱
他們會顯示你的密碼被外洩過幾次、分別是什麼資安事件
2. 你就當作你全部的密碼都已經外洩了
你稍微看一下上面兩個網站提到的資安事件
你就會發現 除了極少數巨型軟體公司之外
實在沒多少公司的資安值得你信賴
我自己是只對 google、apple 有信心
但即便如此 使用這兩間公司的服務 也分別會在我 android 手機、macbook 筆電要求驗證,這也是 2FA
3. 我個人有開啟 2FA 的服務
我本身是使用 Authy,然後在至少 3 個裝置上同步
(否則,如果 2FA 那台裝置遺失了,會是非常麻煩的事情!可能是毀滅性的)
我現在 app 裡面的帳號就有
- Hover
- Binance
- MAX
- Linode
- Gitlab
- Github
- NPM
- AWS
- Cloudflare
- Mailgun
- DigitalOcean
社群媒體、source code 管理、主機服務、金融工具 這幾種類型
如果沒提供 2FA 功能,我是完全不敢用的!
4. 有那麼倒霉?真的會遭遇損失嗎?
社群媒體:
我個人的 Email 接過陌生信件,標題就寫「嗨你的密碼是XXX」然後真的是我密碼
信件內容聲稱掌握我的不雅影片跟不雅紀錄那些 要我用區塊鏈交付贖金
除此之外,最近FB很多陌生私訊,都是詐騙集團盜走別人的帳號,有發現嗎?
主機服務:
我前公司在 hover.com 購買的網址 直接被轉移走!
網址打開變成「此網站已被劫持 請使用萊特幣付贖金到XXX」
source code 管理:
我的 google map API key 被盜走 某月份被刷了台幣一萬元左右
順帶一提 手機簡訊 作為 2FA 的一種 也不夠安全
前陣子台灣有多起簡訊認證被繞開的金融盜刷事件
其實你手機不小心安裝惡意軟體 被拿到簡訊讀取權限 就繞開了
結論
我個人大量使用 2FA 作為安全管理的一環
我認為這應該會是未來的趨勢 年輕的朋友們可以早點學習相關工具
原來背後有這麼深的歷史 看完這個就不會感覺生氣跟煩躁了<br>
反而覺得原來是走在前面<br>
而且很貼心的措施<br>
知識真的是力量耶<br>
謝謝站長親身經歷的說明 也讓我反思到了無知的可怕 會導致什麼大問題<br>
以及資安這部分的專業細節<br>