SMS的安全問題

在上一篇文章中，我們探討了基本流動電話網絡的運作方式。表面上看，這種運作方式應該是安全的。然而，現實情況卻並非如此簡單。今天，我們將深入探討SMS(短訊服務)在身份認證方面的安全問題，以及可能的替代方案。

SS7與漫遊服務的安全漏洞

SS7最初設計為一個封閉的系統，只有大型電信公司能接入。但隨着科技進步和市場變化，情況已經改變：
‧以前，只有大型電信公司能接入SS7網絡。
‧現在，只需很少費用，任何人都能買到SS7接入點。

這意味著，潛在的攻擊者可以輕易進入這本應安全的系統。一旦進入，他們可以利用各種手段進行攻擊，尤其是在漫遊服務中。我們電話簿內的聯絡人通常沒有區碼，漫遊時撥打相同號碼可能會接通當地完全不同的人。為了方便使用，電訊商提供了一項功能，可以將發至指定號碼的請求轉發至另一個號碼。這一漏洞讓攻擊者能夠在短時間內利用SS7協議，告訴系統該號碼在漫遊中，欺騙系統將所有發至該號碼的消息轉發至他們的設備，竊取敏感信息。

替代方案：
使用應用程式生成身份認證碼

面對這些安全風險，我們需要更安全的替代方案。一個越來越受歡迎的選擇是使用專門的應用程式來生成身份認證碼，而非依賴SMS。這類應用程式通常被稱為「兩步驗證器」或「2FA應用」。其工作原理如下：
‧在手機上安裝專門的應用程式。
‧登錄服務時，應用程式生成唯一的、時效性的代碼。
‧輸入代碼完成身份驗證。
這種方法比SMS更安全，原因如下：
‧代碼在設備上本地生成，毋須通過網絡傳輸。
‧每個代碼都有嚴格的時間限制，通常僅30秒或60秒有效。

一些常見的2FA應用包括Google Authenticator和Microsoft Authenticator。許多主要網上服務如Google、Facebook、Twitter等都支持這種認證方式。

結論

雖然SMS仍是常見身份認證方法，但我們必須意識到其安全風險。隨着科技發展，攻擊者找到了新方法利用SMS系統漏洞。普通用戶可以採取以下步驟保護自己：
‧盡量使用應用程式的兩步驗證，而非依賴SMS。
‧對不支持應用程式驗證的服務，考慮使用其他安全措施，如硬件密鑰。
‧保持警惕，不點擊來歷不明的連結，即使看似來自可信來源。

隨著我們越來越依賴網上服務，保護在線身份變得前所未有的重要。了解潛在風險並採取適當預防措施，我們可在享受網上世界便利的同時，確保個人信息安全。