什麼是雙因素驗證 (2FA)?

千萬別讓安全性暴露在風險之中—運用雙因素驗證強化組織的安全性

使用手機完成 2FA 的人

什麼是雙因素驗證 (2FA)?

事關組織的線上安全性時,越謹慎越好。網路安全威脅的數量和複雜度正快速上升,根據 Malwarebytes 的報告,針對企業的攻擊在 2019 年上升 13%。因此,許多企業正在嚴格審視內部當前的資訊安全措施。畢竟,企業的線上帳戶存有大量的個人、財務和機密資訊,而且資料外洩經常會導致收益損失。以大部分的組織而言,只需要一個簡單的步驟就能協助改善全體員工的網路安全紀律:雙因素驗證,也就是 2FA。

雙因素驗證說明

什麼是雙因素驗證?驗證指的是認證使用者身分的流程,目的是建立對電腦系統或線上帳戶的存取。驗證有三大「要素」:知識要素 (使用者知道的資訊,例如密碼或 PIN 碼)、擁有要素 (使用者擁有的物件,例如行動裝置或 ID 證件),以及本質要素 (使用者的本體,例如指紋或聲音)。另外也有「位置要素」和「時間要素」,但明顯較少見。雙因素驗證就是指安全系統採用其中兩種要素。

換句話說,雙因素驗證是除了密碼或 PIN 碼之外的第二層安全性防護。如果您曾經在以密碼登入之後,受到系統要求輸入傳送至行動裝置的數字代碼來證明身分,那麼您已經體驗過 2FA 了。不過,透過簡訊取得代碼並不是唯一的雙因素驗證方式。其實還有各式各樣的選項,包括 Authenticator 應用程式、推播通知、軟體憑證、語音驗證等等。不過在多數情況下,額外的安全防護措施最有可能是簡訊代碼。

什麼是驗證應用程式?

您可能很熟悉大多數的雙因素驗證類型,例如簡訊、語音訊息和推播通知,但比較不熟悉 Authenticator 應用程式。事實上,這個方法相對簡單。那麼,什麼是 Authenticator 應用程式呢?基本上,這種在手機上的應用程式會產生數位驗證碼,可以用於在登入網站或應用程式時驗證您的身分。目前有很多不同的 Authenticator 應用程式可選擇,包括 Google Authenticator 應用程式Duo Mobile 和 Authenticator,每種採用的程序都大致相同。

一般認為相較於接收簡訊密碼,Authenticator 應用程式是比較安全的 2FA 形式。這是因為嚴格來說,簡訊並不是您擁有的東西,而是您接收到的東西。因此,還是有很低的機率會發生駭客欺騙您的電信業者,將您的手機號碼連接到不同的裝置 (這種詐騙類型叫做「SIM 卡交換詐騙」)。假設駭客已經握有您的密碼,對方就能存取您的帳戶。相較之下,Authenticator 應用程式的驗證碼在短時間內就會失效 (通常是在 20 或 30 秒之後),而且代碼只會出現在應用程式內。

2FA 如何運作?不論是使用 Authenticator 應用程式、推播通知還是簡訊,只要在系統上設立了雙因素驗證,之後的使用方法都相當簡單。以下是 2FA 流程的詳細指南:

  1. 網站或應用程式提示使用者登入。
  2. 使用者輸入使用者名稱和密碼,滿足第一個安全性要素。
  3. 網站辨識出使用者之後,系統提示使用者啟動登入流程的第二步驟。在這個階段,使用者必須證明自己持有特定物件,例如 ID 證件或智慧型手機,以滿足第二個安全性要素,也就是「擁有」要素。在多數情況下,使用者會收到一次性安全密碼,用於確認使用者的身分。
  4. 最後,使用者要輸入安全金鑰,網站完成驗證之後,就會授權使用者存取。

為何要使用雙因素驗證?

以線上安全性而言,目前最常見的驗證要素⁠是使用者/密碼的組合。這表示大部分的系統僅採用單步驟驗證。儘管數十年來密碼一直是必備資訊安全標準,有幾個原因可以說明為何現在該完全捨棄密碼了。首先,密碼很容易淪為兒戲。人類的記憶力普遍不佳,在大部分的情況下,一般人選擇的密碼都很容易猜到:「password」、「12345」、「qwerty」等等。

另外也別忘了,相較於密碼剛問世時,現在的使用者擁有的線上帳戶遠多於以前,這表示實在需要記得太多密碼。這可能會導致「密碼回收」的現象,也就是把相同密碼用在多個帳戶,導致駭客更容易入侵。考慮到網路犯罪和資料外洩層出不窮,例如 Yahoo 2013 年的資料竊盜事件,有 30 億個帳戶遭到駭客攻擊,因此不難理解為何密碼已經不再是最安全的防護形式。

有些網站採用的不是發展成熟的 2FA,而是將安全性問題當作第二驗證要素。例如,您可能需要回答「您母親的娘家姓氏是什麼?」或者「您小時候的寵物叫做什麼名字?」之類的問題。不過,這種做法還是有很多漏洞。由於在網路上可以取得大量個人資訊,駭客通常猜得出較基本問題的答案。此外,務必要注意這種做法並非「真正的」2FA,因為安全性問題只能算是第二個知識要素而已。基本上就是用一組密碼保護另一組密碼。從這個角度看來,安全性問題比較接近所謂的兩步驟驗證 (2SV),這種形式的驗證不需要不同的要素,只需要多個步驟。

重點:密碼是最低層次的安全防護,這就是為何雙因素驗證漸漸變成企業的基本安全性標準。

超越雙因素驗證

如上所述,採用 2FA 的好處顯而易見。不過雙因素驗證並不是資訊安全的最終目的地,還遠遠不及。畢竟雙因素驗證並不是十全十美。如果駭客想要存取您的電腦系統,他們可能會實際搜索公司所在地,並找到員工 ID 或含有密碼的棄置儲存裝置。此外,駭客可以透過釣魚電子郵件攔截簡訊,因此有可能避開第二個驗證要素。說到底,2FA 只是安全性流程最弱環節中的強力措施。

那麼,還有哪些方法呢?2FA 只不過是更大規模概念中的一小部份:多重因素驗證 (MFA)。理論上,可以做三重驗證、四重驗證、五重驗證,一直到無限多重驗證。儘管一般使用者不太可能用到多於雙因素驗證的方法,高安全性環境中的工作人員可能會用到三重驗證 (3FA) 這類做法,通常會需要使用本質要素,例如指紋或虹膜掃描。

運用雙因素驗證確保檔案安全

確保公司檔案和內容安全的重要性不容小覷。根據估計,全球網路犯罪所造成的損失將在 2021 年達到每年 6 兆美元。與網路犯罪相關的支出包括資料損毀/濫用、金錢失竊、攻擊後服務中斷、盜用智慧財產以及損失生產力。同時也必須考量到重建遭駭資料/系統、採證調查和商譽受損相關的可能開銷。隨著威脅越來越複雜,全世界也逐漸採用雙因素驗證當作標準,企業不該冒險而對虎視眈眈的駭客毫無防備。這就像是因為車上有安全氣囊而不繫安全帶。嚴格來說,這麼做確實有受到保護,但遠不及原本可進一步達到的保護程度。

如何運用 Dropbox 採取 2FA

顯然啟用雙因素驗證對於企業大有助益,不過在整個公司內全面採用 2FA 的流程可是一大挑戰。所幸事情可以變得更簡單。Dropbox 提供雙因素驗證功能。如果您啟用 2FA,每次登入帳戶或連結新的平板電腦、電腦或手機,Dropbox 都會要求您和工作團隊提供第二種形式的驗證 (例如六位數密碼或安全金鑰)。此外,Dropbox 提供多種密碼保護功能,可協助您保護和控制公司的敏感資訊,同時您也可以設定分享連結到期日,並且用密碼保護 PDF 和資料夾。

您還可以透過 Dropbox 採用其他網路安全性措施,以更有效地保護您的檔案。Dropbox 的雲端安全防護功能是補足雙因素驗證的理想選擇。簡單來說,雲端資料防護是 Dropbox 的首要目標。有了遍布分散式雲端架構的多層防護,您可以確保所有線上檔案都獲得同等保護。此外,Dropbox 的企業級加密雲端儲存符合大部分的全球法規標準。

結語

雙因素驗證可以為企業線上檔案提供額外的安全防護,保障敏感資料不受潛在網路威脅影響。