多数交易所都有导入的Google双重验证机制,最近推出云端备份服务,虽然很方便,却增加了一次性密码外泄风险,用户要注意什么?
Google双重验证推云端同步,币圈也受影响!
为了保障帐号安全,许多人都会使用「两步骤身分验证器(2FA)」,Google Authenticator就是最普遍的工具之一。
当要登入App或网站,在输入帐号密码后,需要再输入一组Google Authenticator每30秒随机产生的6位数一次性密码,目的就是要再一次确认,正在操作的是帐号主人本人。
不过,由于身分验证器的代码储存在手机上,因此如果换手机、手机不见,帐号可能因此遭到锁定,非常麻烦。
今年4月,Google Authenticator宣布进行更新,将开始支援将帐号资讯备份至Google云端帐户,开启备份功能后,用户就能随时在任何装置,使用和管理自己的双重验证代码。
Google在4月下旬宣布Authenticator在Android 6.0和iOS 4.0以上的系统,将开始支援将帐号资讯备份至Google帐户,若开启备份功能后,用户就能随时在任何装置使用和管理自己的双重验证代码。
对用户来说,这项更新看起来更方便了,不过有不少专家却指出,这相当「不安全」。因为同步云端的功能没有端到端加密,也就是说,不只Google可以看到这些数据,甚至还有可能被有心人士利用。
尤其,许多加密货币交易所都有「两步骤双重身分验证」机制,一但有资安漏洞,用户的虚拟资产就会暴露在极高的危险下。
Google安全经理克里斯蒂安布兰德(Christiaan Brand)很快就在推特补充,Google已计划未来加入端到端加密选项,并强调Google相当重视用户的资安。之所以一开始没有导入,是因为在端到端加密的情况下,用户如果遗失帐号密码,就无法自己恢复数据,因此当初没有做这样的选择。
交易所用户,要注意哪些事情?
多数的币圈老玩家都对于Google双重验证更新,都抱持谨慎态度,且由于区块链的社群活动紧密,第一时间很多人都会在社群中分享观点、警告安全性;对圈外用户、币圈新手来说,这项更新讨论度并不高。
对交易所来说,资安更是保护用户加密资产的重要关键,多数交易所都有提供帐号绑定Google Authenticator的服务。面对这波更新,许多交易所也纷纷呼吁用户应注意此项更新,并建议关闭云端同步功能。
Google验证器的更新虽然增加了方便性,但由于可以在多台设备上检索与存储,若是用户的Google帐户遭盗用,那么一次性密码就也可能同时被泄露。
Rybit创办人赖永纯表示,Rybit在侦测用户使用不同IP,或异地登入时,也会再以简讯一次性验证码等方式验证身份,以确保用户帐户安全。
ACE法币数字货币交易所执行长王黉骕提醒,「用户自行在线下管理密码,就是最安全的方式,即使用户为求方便用Google帐号密码,也要确保不被泄露他人,更可增加实体安全金钥登入增加复杂度。」
王黉骕建议,坊间提供指纹辨识YubiKey(一种安全金钥)登入,或选择其他非Google的身分双重验证(2FA)等,就能轻松提升用户安全,「不用像为了看密码还要打开保险柜,这样太不方便了。」
最重要的,还是用户对于资安的警觉性,王黉骕提醒,平时要多留意资安相关讯息,了解最新的骇客威胁方式和保护做法。
MaiCoin交易所的资安主管林劭谦则认为,安全的态势是持续变动的,没有一件事是永远安全或不安全。最重要的还是用户要有「零信任」的精神,并且注意在任何服务的验证资讯管理上,不要把密码和双因子,保存在同一个厂牌的密码管理器或是验证器上,以此来分散风险。
验证用户身份,交易所还有哪些机制?
面对Google Authenticator的更新,几家本土交易所,是否可能会考虑使用其他身分验证方式呢?
ACE执行长王黉骕表示,ACE除了有绑定用户装置,确认是否为本人操作行为之外,也有另外的独立凭证主机,专门用来验证用户的凭证,每一张凭证仅限本人的同一行动装置使用,若登入不同的行动装置,需要重新申请一张新的凭证,ACE交易所的交易主机内,所有数据内容都是加密及分级用户资料并确保高度安全性。
MaiCoin团队对于各种第三方应用程式,和服务的安全性评估是不间断的,也会持续对使用者的异常行为,和暗网的外泄资料库做监控,来减少使用者的风险。针对帐号认证的议题,除了风控机制外,也会持续对FIDO身分鉴别的相关功能,进行研究和关注。
Rybit所有与用户资产相关的操作,都需绑定二次验证才能使用,必要时系统也会自动启动人脸辨识验证,以再次确保用户帐户安全。Rybit团队也会继续关注、找寻安全使用上友善的身分验证方式。