電子前線基金會EFF砲轟美國四大電信力推的行動身份驗證不夠安全還可能侵犯隱私

EFF砲轟美國四大電信力推的行動身份驗證不夠安全還可能侵犯隱私

美國四大電信商AT&T、Sprint、T-Mobile和Verizon結盟,聯手提出了驗證計畫(Project Verify), 提供行動身份驗證方法,讓用戶可以直接使用手機登入應用程式和網站,不再需要輸入另外的密碼,另外,也可作為簡訊或是實體安全金鑰等多因素驗證方法的替代方案。不過,電子前線基金會(Electronic Frontier Foundation,EFF)卻抨擊,此舉不安全且影響使用者隱私。

為了方便,不少服務都使用單一登入(SSO)服務,使用臉書或是Google等帳號登入,作為個別服務使用各自密碼的替代方案。而行動身份驗證也屬於單一登入方法,使用者要申請網站或是應用程式帳號時,可以不需要註冊額外的帳號密碼,登入程序也會方便許多。

EFF表示,行動身份驗證存在安全和隱私問題,行動裝置友善的安全性以及身份驗證研究顯示,登入方法最好是開放且獨立於供應商或是平臺,必須讓用戶可以完全控制自己的身份。EFF抨擊,驗證計畫的推手是主動想要廢除網路中立法案,並使用Supercookies或是幫助NSA監控使用者的電信業者。

行動驗證計畫會使用五種資料來辨識用戶,電話號碼、帳戶使用權、帳戶類型、SIM卡詳細訊息和IP地址,其中最值得關注的資料便是電話號碼和IP地址。EFF認為關聯帳號和電話號碼為使用者帶來許多問題,除了包含簡訊驗證方法帶來的釣魚攻擊之外,常看到的攻擊手法,還有駭客可以聯絡電信業者,以丟失或是破損等各種理由要求電信商重發SIM卡,在原使用者手上的SIM卡被停用後,駭客就能入侵使用者基於行動驗證的各種服務。

另外,現在有許多防止行動裝置追蹤的方法,包括EFF自家的Privacy Badger、Android上的匿名網路應用Tor,到iOS上的Safari反追蹤功能,都是用來幫助使用者保護隱私,但使用行動身份驗證便可能讓這些防護失效。

即便以匿名網路Tor或是VPN等保護措施,使用者的IP地址仍然會提供電信業者或是網站營運商相當多的資訊。使用行動身份驗證登入的第三方應用程式或是網站必須要和電信業者連線,電信業者則可以完全追蹤,並且銷售使用者的資料。

基於安全以及隱私原因,EFF並不支持使用者使用行動身份驗證,而他們一直以來推薦的方法,便是使用密碼管理器來創建和管理強密碼。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏