對象:正準備給帳戶開啟雙因素認證(MFA/兩步驟驗證)的人,以及已經開啟但還在猶豫「用 SMS 行嗎?」的人。本文不講攻擊手法本身,只梳理 哪種方式更強、什麼帳戶該配哪種。
本站的視角:『有 MFA』不是一個勾選框
在安全設定裡常見的「雙因素認證:開」,其實幾乎不攜帶強度的資訊。同樣是「開」,SMS 和 passkey 能擋住的攻擊截然不同。許多帳戶被盜並非「沒有 MFA」,而是因為「用的是弱 MFA」。所以本站建議,對重要帳戶不要按「有沒有 MFA」來評估,而要按「是否具備抗釣魚能力」來評估。
為什麼需要 MFA
密碼單獨來看,應當以「遲早會洩漏」為前提去考慮。重複使用、洩漏外流、被猜中、被釣魚——被攻破的途徑有很多。MFA 就是在第一道被攻破時,用第二道攔下來的保險。
尤其重要的是信箱帳戶。許多服務都用郵件來復原「忘記密碼」,所以信箱一旦被奪,其他帳戶也會像拔藤帶瓜一樣被連環重設。因此信箱正是應當用最強 MFA 來守護的「王國之鑰」(→ 最低限度清單的 Tier 0)。
強度的層級(本質所在)
同樣叫「雙因素認證」,方式不同強度截然不同。越靠左越弱,越靠右越強。分水嶺在於**「會不會對假站點出示」**。
✗ SMS / 郵件
手動輸入數字。被中繼釣魚、SIM 交換攻破
△ 驗證器 App(TOTP)
比 SMS 強,但驗證碼可能被中繼到假站點
○ passkey
裝置生物辨識。綁定網域帶來抗釣魚
◎ 實體安全金鑰
FIDO2 專用金鑰。最為堅固·建議備用金鑰
SMS / 郵件的驗證碼
- 驗證碼只是一串數字=在假站點上也能照貼
- 會被 SIM 交換(劫持手機號碼)奪走接收
- 一旦被中繼釣魚「轉發給真站點」便毫無作用
- 比沒有強,但當不了最後的防線
passkey / 實體金鑰(FIDO2)
- 金鑰綁定到所存取的網域=在假站點上簽不出名
- 原理上抗釣魚(不依賴人的判斷)
- 用裝置生物辨識或專用金鑰,沒有可被盜的「字串」
- 王國之鑰就用它
「抗釣魚」是什麼
這是最重要的概念。SMS 或驗證器 App 的驗證碼,歸根結底要靠人用眼睛判斷「是不是輸進了正確的站點」。但以假亂真的假網域,人是分辨不出來的。而 passkey 或實體金鑰(FIDO2)則讓金鑰本身記住「這是給哪個網域用的」,因此對假站點不會回傳簽章。也就是說人被騙了,金鑰不會被騙。這就是「抗釣魚」,是區分弱方式與強方式的決定性差別。
如何設定(順序很重要)
先從王國之鑰開始
密碼管理器本體也要 MFA
若不支援就用驗證器 App(TOTP)
妥善保管復原碼
準備一個備用手段
即使開了 MFA,也別再重複使用密碼
MFA 是保險,不是弱密碼的藉口。在只能配上不具抗釣魚能力的 MFA(如 SMS)的服務上,密碼的強度與唯一性仍然是最後的防線。強度可在 密碼強度檢測器 上確認。
本站是怎麼做的
本站把重要帳戶——尤其是信箱與網域、伺服器管理、支付——盡可能用具備抗釣魚能力的 MFA牢牢守住。理由很簡單:它們都是「被奪一個就全被奪」的王國之鑰。日常登入用密碼管理器管理,並給這個管理器本身也配上 MFA。而且不止步於「開了 MFA」,還會定期複查配的是哪種方式。一旦發現某個重要帳戶只配了 SMS,就把它當作「漏洞」,優先升級為 passkey/實體金鑰。不按有無來管理,而按強度來管理——這就是本站的方針。
接下來閱讀
- 基礎:安全最低限度清單(最優先守護王國之鑰)
- 保管:密碼的安全保管方法
- 術語:SPF/DKIM/DMARC(防偽造郵件)
- 術語:什麼是釣魚(抗釣魚 MFA 對付的對象)
- 無密碼:什麼是 passkey(不用密碼、無法被盜的登入)
- 工具:密碼強度檢測器
FAQ
Q開啟雙因素認證(MFA)就安全了嗎?
比不開要安全得多,但『開了=安全』並不成立。方式不同強度會差三檔,SMS 或郵件的驗證碼會被釣魚(把驗證碼誘導到假站點的中繼攻擊)和 SIM 交換攻破。請給重要帳戶配上無法對假站點出示的 passkey/實體金鑰(抗釣魚 MFA)。
Q為什麼說 SMS 驗證較弱?
因為驗證碼只是一串數字,輸入到的是真站點還是假站點只能靠人來判斷。它會被把驗證碼騙進以假亂真站點的中繼釣魚、以及劫持手機號碼的 SIM 交換攻破。比沒有強,但當不了最後的防線。
Q到底該選哪種方式?
最強的是 passkey(裝置的生物辨識)和實體安全金鑰(FIDO2)。它們把金鑰綁定到所存取的網域上,因此在假站點上原理上簽不出名=抗釣魚。在不支援的服務上使用驗證器 App(TOTP),SMS 只作為沒有其他可選項時的最後手段。