翻墙知识 翻墙问答:“USB加密金钥”二步认证法最可靠但多限制

问:最近,学民思潮有成员的Gmail户口被窃,令不少学民思潮成员资料,以及Facebook曝光。现时Gmail有二步认证的方法,防止户口被窃,但这么多种二步认证方法中,有那一个方法是最可靠,而可以肯定密码不会在途中被窃?

李建军:谷歌现时支援二步认证的方法很多,包括短信、电话、手机应用程式,以及USB加密金钥。

现时众多二步认证方法中,最安全稳当而且易用是USB加密金钥,因为USB加密金钥完全不会将认证码经任何未有加密的电讯网络传送,而现时买到的 USB加密金钥,亦在美国等国制造,很难受中国当局的影响。只不过,这种方法在技术上有比较多限制。只有桌面电脑能够支援USB加密金钥,手机以及平板电 脑就不能够支援,亦只有Chrome浏览器才能支援USB加密金钥,IE以及Safari使用者完全享受不到USB加密金钥的好处。

对中国用户而言,由于无法在中国买到USB加密金钥,必须在美国或欧洲国家订购,一旦遗失加密金钥都将会颇为麻烦。

另 一个相当可靠方法是Google Authenticator的应用程式,就算你手机接收不到短信,甚至完全没连上互联网都好,只要运行这个应用程式,都可以产生必须的二步认证码,只要第 一次做好短信或电话认证便可,这个应用程式适合一些频繁更改电话号码,又嫌买USB加密金钥麻烦的人。现时Google Authenticator支援iOS、Android以及Blackberry,几乎涵盖了大部分手机作业系统。

你亦可以设定常用的电脑不用二步认证码都可以登入,但其馀机器一律需要用二步认证码,但设为不用二步认证码的电脑或手机,都必须是常携带在身的手机或电脑,否则不法之徒或中国政府的人,就会有机可乘,偷掉了你的谷歌户口也不自知。

问:在上集翻墙问答中,只是示范了MD-5杂凑码来验证翻墙软件真伪,而没有示范相对安全的SHA-1杂凑码?

李 建军:要成功鉴定翻墙软件的真伪,就必须软件开发商提供相关的杂凑码,现时无论自由门,还是无界浏览,都是在网站提供MD-5的杂凑码,而并非SHA-1 甚至更安全的SHA-256杂凑码。因此,我们就算想教如何使用SHA-1杂凑码来验证软件真伪,都仍然无能为力。要等翻墙软件开发商,陆续改用SHA- 1甚至SHA-256杂凑码,才可能会有更安全的使用方式。

除了翻墙问答教的方法,透过互联网以及浏览器,都可以检查档案的MD-5杂凑码是否原装正版,而无须理会自己电脑的作业系统。这次翻墙问答预备视频,示范有关用法,欢迎听众浏览本台的网站收看。

问:MD-5到底有什么漏洞,为何有部分人视MD-5为一个不大安全的杂凑码技术?

MD-5是上世纪九十年代发展的技术,至今用了接近廿五年,无论长度,还是当中演算法则,都被黑客所看破,因此MD-5技术己经不能够保证百分百可靠。SHA-1稍迟于MD-5发展,但都用了二十年,不少弱点亦被黑客所识破,因此都被视为一种不大安全的技术。

现时俗称SHA-256的SHA-2家族,是暂时最安全的技术,除了因为技术新外,亦因为杂凑字码长度比较长,演算法暂时漏洞不多,黑客未有能力在SHA- 2的杂凑码上动手脚。若更多软件公司愿意公布档案的SHA-2杂凑码,用户可以改用SHA-2杂凑码认辨软件真伪,再配合档案数码证书的普及,中国当局以 至部分黑客要在网上发放假的软件,恐怕并非一件容易的事。而2012年发表的SHA-3现时尚未普及,相信在一段时日后才会出现相关应用。

原文:http://www.rfa.org/cantonese/firewall_features/firewall-2steps-07312015085208.html?encoding=simplified

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s