中小企應如何創建雙重認證：專家分享 5 大 Tips

根據由香港互聯網協會及雲端安全聯盟香港澳門分會聯合公佈的第二年度「香港中小企雲端應用、保安及私隱就緒程度調查」，有 83％ 的受訪企業表示正在使用雲端服務或在未來一年計劃採用雲端服務，該數據相比去年的 55％ 呈現顯著增長。與去年相似，香港企業採用最多的兩項雲端服務是電郵和數據儲存。事實上，幾乎所有受訪企業都表示有在日常運作中採用雲端電郵服務。

隨著自攜裝置（BYOD）在香港的盛行，中小企業尤其需要意識到採用雲端服務所伴隨的安全風險。如何在保證企業重要資訊安全的同時又能夠適時開展 BYOD 或者家庭辦公以節約成本，成為許多中小企面臨的重要挑戰。

10 年前，香港成為了首個建立雙重認證（2FA）制度的發達金融市場，確保了網上銀行能夠在安全環境中發展。然而，直到近期，多重認證才成為社會規範以及成文法律（Apple 與 Snapchat 最近將 2FA 加入其登入程序）。從 8 月 1 日起，歐洲銀行協會（EBA）將要求客戶必須透過多重認證才能完成網上交易。其他市場已經或者即將在未來數年執行類似法規。

因此企業在實施多重認證時需要注意什麼，尤其時透過短訊 SMS 這種不僅有效而且成本效益極佳又易於執行的方案？我們收集了過去 4 年為 LINE、Snapchat 以及 Connect.com 等公司每年驗證 35 億位用戶所得出的經驗，給中小企業分享 5 大 Tips。

1. 留意並更新區內規定

每個國家的行規不同，了解當地規定對於確保流暢傳遞 SMS 訊息非常重要。譬如法國要求提供訊息發出人的英文字母ID，而德國只允許擁有實體呈現的個人和企業才能有資格獲得含有當地區號的電話號碼。可參考 knowledgebases 了解各個地區的不同規定。

2. 留意非流動電話號碼

許多時候 SMS 的運作會遇到問題。網絡受阻或者用戶未能留意是主要現象。因此企業亦可考慮加入文字到語音的方案（text-to-speech）作為備選。同時，詐騙罪犯傾向於使用 VoIP 號碼，因此要多加留意。

3. 文化語言不容忽視

實施多重語言支援看似簡單卻也有很多經常被忽略的重要細節。很多廉價的語言翻譯服務質量欠佳，無法保證資訊的準確傳達，也就最終導致糟糕的用戶體驗。例如在印度，用戶對於英文資訊的回覆率反而最高。

4. 時間就是金錢

確保加入例如 RFC6238 等時間算法，可以給予驗證碼某段時間的有效期，過期後自動無效，並且該有效時間的長短可自行調整。如果驗證碼不能在規定時間逾期後失效（一般建議以 5 分鐘為標準），則有可能讓垃圾郵件制造人收集驗證碼並潛入服務，從而有機可乘。

5. 留意轉換率

在部署了多重驗證方案後，要密切留意轉換率並適時進行調整。時間窗口是否太小？驗證碼是否太長？安全固然重要，但用戶體驗亦不容忽視，切勿因此失彼。

關於作者

Sri Srinivisan 是 Nexmo Verify 及 Number Insight 業務產品行銷經理。他曾為數家流動行業廠商效力多年，包括Druva、Motorola、RIM 以及 Qualcomm。Srinivisan 擁有 Kellogg School of Management 的 MBA 學位以及 UT 的理學碩士學位。