MFA
該標籤下有 7 篇文章
AI 時代的安全防護|個人開發者現在就該夯實的基本功(按優先級排序的清單)
AI 強化的不是『新弱點』,而是『自動、大規模地利用既有弱點』那一側。所以比起特別的新對策,按正確的順序夯實基本功才是最好的準備。CVE 立即打修補程式+相依套件監控、杜絕重複使用+MFA、清除暴露的機密、最小權限、收縮公開面、記錄/IOC 的準備、備份——全都用一份按優先級排序的清單講清楚。
什麼是網路釣魚(Phishing)——比「識破」更可靠的防禦與手法種類
網路釣魚是冒充可信對象、誘導你進入偽造的登入頁面等,竊取憑證或個人資訊(或誘使你執行惡意軟體)的詐騙。它的特點是攻擊『人的判斷』而非軟體漏洞,是勒索軟體與資訊外洩最大的入侵入口。如今有以假亂真的假網站連一次性驗證碼都即時中繼的中間人型(AiTM),連SMS/應用程式的MFA也可能被突破。可靠的防禦不是『識破的注意力』,而是與網域繫結的抗釣魚MFA(通行金鑰/實體金鑰)、不點連結而直接存取官方、以及郵件認證(SPF/DKIM/DMARC)。
雙因素認證(MFA)如何正確選擇:比 SMS 更強的「抗釣魚」是什麼
MFA 是『即使密碼洩漏也進不來』的雙重鎖,但你配了什麼會讓強度差三檔。SMS/郵件會被釣魚中繼、SIM 交換攻破,屬於弱方式;驗證器 App(TOTP)居中;passkey/實體金鑰(FIDO2)因為『無法對假站點出示』的抗釣魚特性而屬另一檔。最優先的是給王國之鑰(信箱、網域、支付)配上抗釣魚 MFA。再加上妥善保管復原碼、準備好備用手段,才算正確的維運。
密碼管理器安全嗎?運作原理與雲端、本機的區別,以及如何選擇
密碼管理器比重複使用、明文保存更確實地安全。關鍵在於零知識加密=憑主密碼只有端側能解密,提供方只持有密文,所以提供方被攻破內容也不會外洩。真正的單點故障是主密碼和保險庫的 MFA。雲端型(Bitwarden/1Password)與本機型(KeePass)按用途選擇。
個人開發 / 小規模維運的安全底線:把業界標準的對策一次配齊
最低限度的對策並非『全都一樣重』。本站的優先順序 = ①王國之鑰(多因素驗證 / 網域 / 郵件)②金鑰與程式碼 ③應用程式本體 ④修補 / 偵測 / 還原。資源有限的個人,按這個順序從上往下填才是正解。多數事故並非新型攻擊,而是這塊地基的缺口造成的。
安全使用手機的基礎 —— 要守護的是把『鑰匙串、保險箱、身分證』裝進一台裝置的終端
手機是把二要素、郵件、銀行、身分證集中到一台裝置上的單點故障。防守的重點不是安全 app,而是①強鎖定畫面+短自動鎖定(密碼就是加密的鑰匙)②OS/app 自動更新 ③官方商店+權限複查 ④事先設好遺失時的遠端鎖定/清除 ⑤二要素的「備份」(紙本備份碼)。OS 預設已做加密與沙箱隔離。
把密碼存到 Google Drive 安全嗎?正確的保管方法
把密碼以明文形式集中保存在 Google 文件/試算表裡很危險。原因=一個 Google 帳號會成為全部密碼的單點故障,帳號被盜、惡意關聯應用程式、釣魚都能讓全部密碼一次性外洩。正確答案是專用密碼管理器(即使在裝置間同步,內容也保持加密)。如果非要用 Drive,那只能放加密過的管理檔案+為帳號開啟抗釣魚的 MFA。