标题:【翻墙问答】脸书手机二步认证欠安全 转用谷歌防入侵
作者:
日期:2019-03-21 10:41:05
内容:
问:手机二步认证,众所周知并不安全,只不过,在脸书(facebook)上使用手机短讯二步认证,就比其他平台更不安全?不安全在哪里?
李建军:脸书手机短信二步认证,出现一个严重设计失误,就是个别政府或个人,只要知道你的手机号码,是有可能知道你的脸书户口;政府可以利用手机号码,或反过来查,查到谁在脸书发表一些惹火言论,这就很危险。就算你的号码用香港手机卡,只要你曾经用来收过短讯,中国当局仍然可以用漫游纪录找到你身份。因此,脸书的手机二步认证,对中国听众而言是十分危险,纵使你使用的是香港或其他国家的卡,唯一安全方式是先改用其他二步认证方法,并停用手机短讯二步认证。
问:如果脸书不用手机短讯做二步认证,那有甚么方案可以解决当前的问题?
李建军:暂时而言,在脸书上使用谷歌(Google)的二步认证手机应用程式已经足够,因为谷歌二步认证程式是安全的,以及另一个问题是,在中国的听众,未必在中国能够买到,并非由中国厂商制造的FIDO USB金钥。
当然,如果你因参与谷歌的加强保护计划,使用谷歌指定型号的USB金钥,因为反正你也有用谷歌的计划,就可以一并用在脸书之上。与谷歌的情况相同,USB金钥只适用于Chrome浏览器,但未来应会推广到其他浏览器之上。当然,谷歌推荐的金钥,当中有中国制造的品牌,因此,要自己评估一下你要承受多大的风险,毕竟翻墙到脸书的目的,都是希望知道自由世界的资讯,以及朋友圈中畅所欲言,而不会被中国当局秋后算账,惹上麻类。
如果曾经不止一次收到脸书的提示,有人试图重设你户口密码的纪录,那应该立即停用手机短讯二步认证,并且更改密码,以及使用手机应用程式做二步认证,甚至改用USB或NFC金钥,因为你很明显是当局和黑客的长期目标,可说是高危人士。你若不采取行动,你的户口迟早被攻破。
问:如果在手机用谷歌二步认证程式好些,还是用金钥?
李建军:这要视乎你用的手机,如果手机根本无NFC功能,那你只能在手机上使用二步认证程式,这个是无可奈何的选择,因为USB金钥是无法与手机作出连接,不论是Android手机,还是iOS手机都一样。
但如果你的手机支援NFC,那同时可以用于USB和NFC的金钥是最好,因为当手机坏了的时候,都不用一定要在电脑上剔除原有装置后,才能继续使用脸书。特别手机坏了,你的金钥仍可用于电脑之上。
问:现时USB金钥,是不能够用在Safari浏览器之上,那要等到甚么时候,Safari浏览器才能与Chrome一样,用上USB金钥二步认证?
李建军:现时Safari的开发团队正对相关功能作最后测试,在Safari没有再推出Windows版后,变成一个与Mac作业系统紧密相连的浏览器,当中涉及相当多对Mac作业系统的改动,因此,有可能要等待Mac作业系统去到10.15版才能真的享受相关功能。Mac差不多每年都推出新作业系统,再加上现时甚多人用Chrome,所以还算可以接受。
