🔥每日精選最重要區塊鏈新聞、第一手採訪 👉歡迎加入《Web3+》官方Telegram
Google雙重驗證推「雲端同步」,幣圈也受影響!
為了保障帳號安全,許多人都會使用「兩步驟身分驗證器(2FA)」,Google Authenticator就是最普遍的工具之一。
當要登入App或網站,在輸入帳號密碼後,需要再輸入一組Google Authenticator每30秒隨機產生的6位數一次性密碼,目的就是要再一次確認,正在操作的是帳號主人本人。
不過,由於身分驗證器的代碼儲存在手機上,因此如果換手機、手機不見,帳號可能因此遭到鎖定,非常麻煩。
今年4月,Google Authenticator宣布進行更新,將開始支援將帳號資訊備份至Google雲端帳戶,開啟備份功能後,用戶就能隨時在任何裝置,使用和管理自己的雙重驗證代碼。
對用戶來說,這項更新看起來更方便了,不過有不少專家卻指出,這相當「不安全」。 因為同步雲端的功能沒有端到端加密,也就是說,不只Google可以看到這些數據,甚至還有可能被有心人士利用。
Google安全經理克里斯蒂安布蘭德(Christiaan Brand)很快就在推特補充, Google已計劃未來加入端到端加密選項,並強調Google相當重視用戶的資安。 之所以一開始沒有導入,是因為在端到端加密的情況下,用戶如果遺失帳號密碼,就無法自己恢復數據,因此當初沒有做這樣的選擇。
交易所用戶,要注意哪些事情?
台灣本土交易所Rybit觀察,多數的幣圈老玩家都對於Google雙重驗證更新,都抱持謹慎態度,且由於區塊鏈的社群活動緊密,第一時間很多人都會在社群中分享觀點、警告安全性;對圈外用戶、幣圈新手來說,這項更新討論度並不高。
對交易所來說,資安更是保護用戶加密資產的重要關鍵,多數交易所都有提供帳號綁定Google Authenticator的服務。面對這波更新, 許多交易所也紛紛呼籲用戶應注意此項更新,並建議關閉雲端同步功能。
Google驗證器的更新雖然增加了方便性,但由於可以在多台設備上檢索與存儲,若是用戶的Google帳戶遭盜用,那麼一次性密碼就也可能同時被洩露。
Rybit創辦人賴永純表示,Rybit在偵測用戶使用不同IP,或異地登入時,也會再以簡訊一次性驗證碼等方式驗證身份,以確保用戶帳戶安全。
ACE法幣數位貨幣交易所執行長王黌驌提醒,「用戶自行在線下管理密碼,就是最安全的方式,即使用戶為求方便用Google帳號密碼,也要確保不被洩露他人,更可增加實體安全金鑰登入增加複雜度。」
最重要的,還是用戶對於資安的警覺性,王黌驌提醒,平時要多留意資安相關訊息,了解最新的駭客威脅方式和保護做法。
MaiCoin交易所的資安主管林劭謙則認為,安全的態勢是持續變動的,沒有一件事是永遠安全或不安全。最重要的還是用戶要有「零信任」的精神,並且注意在任何服務的驗證資訊管理上,不要把密碼和雙因子,保存在同一個廠牌的密碼管理器或是驗證器上,以此來分散風險。
驗證用戶身份,交易所還有哪些機制?
面對Google Authenticator的更新,台灣幾家本土交易所,是否可能會考慮使用其他身分驗證方式呢?
ACE執行長王黌驌表示,ACE除了有綁定用戶裝置,確認是否為本人操作行為之外,也有另外的獨立憑證主機,專門用來驗證用戶的憑證,每一張憑證僅限本人的同一行動裝置使用,若登入不同的行動裝置,需要重新申請一張新的憑證,ACE交易所的交易主機內,所有數據內容都是加密及分級用戶資料並確保高度安全性。
MaiCoin團隊對於各種第三方應用程式,和服務的安全性評估是不間斷的,也會持續對使用者的異常行為,和暗網的外洩資料庫做監控,來減少使用者的風險。針對帳號認證的議題,除了風控機制外,也會持續對FIDO身分鑑別的相關功能,進行研究和關注。
Rybit所有與用戶資產相關的操作,都需綁定二次驗證才能使用,必要時系統也會自動啟動人臉辨識驗證,以再次確保用戶帳戶安全。Rybit團隊也會繼續關注、找尋安全使用上友善的身分驗證方式。
🔥每日精選最重要區塊鏈新聞、第一手採訪 👉歡迎加入《Web3+》官方Telegram
核稿編輯:高敬原
