tag
phishing defense
該標籤下有 2 篇文章
2026-07-02
什麼是一次性密碼(OTP)— TOTP/HOTP/簡訊的差異與限制
一次性密碼(OTP)是一種用過一次就失效的短命拋棄式驗證碼。種類有驗證器 App 的 TOTP(以時間為基礎)、HOTP(以計數為基礎)、SMS-OTP(用簡訊送達)。它對固定密碼的外洩與重複使用有很強的防護,常被當作雙因素驗證中『你擁有的東西』這個因素。不過它有限制:中間人(AiTM)釣魚仍可透過假網站中繼 OTP 而攻破。真正的抗釣魚能力來自繫結在網域上的通行金鑰。OTP 是『比什麼都沒有好得多,但不是終點』。
2026-07-02
什麼是雙因素驗證(2FA)— 與兩步驟驗證的差異與各方式的強弱
雙因素驗證(2FA)是在『你知道的東西(密碼)』之上,加上『你擁有的東西・你本人(驗證碼・金鑰・生物特徵)』這種不同類別的證明,來強化身分確認的機制。它與常被混淆的兩步驟驗證(確認兩次)在嚴格意義上是不同概念,密碼+簡訊驗證碼其實比較接近『同類別的兩個步驟』。強度由方式決定:簡訊/郵件 < 驗證器 App(TOTP) < 通行金鑰/實體金鑰(FIDO2)。本站的立場是:先不論如何都要開啟某種 2FA,再往無法交給釣魚網站的方式靠攏。