你還在用簡訊驗證嗎？

大新聞

下面的貼文轉自黑暗執行緒：

看到一起令人發毛的資安新聞。
韓國最大電信業者 SK Telecom (SKT) 遭駭客入侵，導致高達 9.7GB 的資料外洩。要命的是，其中包含 IMSI、MSISDN、ICCID 等重要資料，駭客可以用它複製一模一樣的 SIM 卡分身，跟原本的 SIM 同時宣稱自己是本尊。
若真假 SIM 卡手機同時開機，兩張 SIM 卡將互相搶占網路連線(電信廠商有機會偵測異常並同時停用)；若被害者手機關機或未上線，則假 SIM 卡手機便能取而代之，接收認證簡訊，完成密碼重設、信用卡刷卡 OTP 確認等程序。若駭客同時掌握姓名、身分證號、銀行帳號等個資，加上能收簡訊，在一些線上身分驗證流程裡幾乎可以完美扮演被害人啊~ 超可怕。
幾點心得：
1. 原以為 SIM 卡會像信用卡晶片用硬體（HSM）保護的非對稱金鑰驗證身分，不像對稱式金鑰會有機會被複製，但看來並非如此，沒我原本想像的安全。
(查了資料，3G/4G/5G 協定一直都是對稱式加密，應是基於速度與成本下的決策)
2. 之前有聽過簡訊驗證不如 Passkey 無密碼登入(若使用 HSM 硬體保護金鑰且不備份雲端)的說法，簡訊於此事件再中一刀。
3. 查了新聞提到的 USIM 保護手法，一些做法是採雙向認證(多驗證及識別手機本身)、強化長期加密金鑰（Ki）管理及提高演算法安全強度。(用對稱式金鑰這點仍是軟肋，但除非手機通信協定全面升級，無能為力)

不要再使用簡訊驗證了

我早在很久以前就放棄簡訊驗證碼，全部都轉到驗證器，主要是因為當時覺得手機號碼有被電信公司停話的可能，我不想要把我的服務綁在一間公司上，所以我才會轉用驗證器。

如果你是第一次聽說的話也不用擔心，因為要轉換是非常簡單的事。以 Google 為例，只要去控制中心就能調整。

• 

下面被我打叉的就是簡訊（SMS）驗證選項。

• 

我最推薦的驗證器有兩款，參考了 Privacy Guides 的建議，分別是「Ente Auth」和「Aegis」。兩者都非常的好用而且也都有中文版，我都使用過。我個人覺得 Ente Auth 的畫面好看一點，但功能兩者都差不多。如果想要自行選擇，一定要記住選有「匯出」功能的。像 Authy 就不是好選擇，因為只要你用了就離不開了，未來要換到別款只能重新綁定。

未來我想做的嘗試

我目前都是使用驗證器，但未來我會試試使用實體金鑰。最常見的像是 YubiKey，但那個有點太貴了，所以我打算採用 DIY 的方案，有機會再分享。