EFF炮轰美国四大电信力推的行动身份验证不够安全还可能侵犯隐私

美国四大电信商AT&T、Sprint、T-Mobile和Verizon结盟，联手提出了验证计划（Project Verify）， 提供行动身份验证方法，让用户可以直接使用手机登入应用程序和网站，不再需要输入另外的密码，另外，也可作为简讯或是实体安全金钥等多因素验证方法的替代方案。不过，电子前线基金会（Electronic Frontier Foundation，EFF）却抨击，此举不安全且影响使用者隐私。

为了方便，不少服务都使用单一登入（SSO）服务，使用脸书或是Google等账号登入，作为个别服务使用各自密码的替代方案。而行动身份验证也属于单一登入方法，使用者要申请网站或是应用程序账号时，可以不需要注册额外的账号密码，登入程序也会方便许多。

EFF表示，行动身份验证存在安全和隐私问题，行动装置友善的安全性以及身份验证研究显示，登入方法最好是开放且独立于供应商或是平台，必须让用户可以完全控制自己的身份。EFF抨击，验证计划的推手是主动想要废除网络中立法案，并使用Supercookies或是帮助NSA监控使用者的电信业者。

行动验证计划会使用五种资料来辨识用户，电话号码、账户使用权、账户类型、SIM卡详细讯息和IP地址，其中最值得关注的资料便是电话号码和IP地址。EFF认为关联账号和电话号码为使用者带来许多问题，除了包含简讯验证方法带来的钓鱼攻击之外，常看到的攻击手法，还有骇客可以联络电信业者，以丢失或是破损等各种理由要求电信商重发SIM卡，在原使用者手上的SIM卡被停用后，骇客就能入侵使用者基于行动验证的各种服务。

另外，现在有许多防止行动装置追踪的方法，包括EFF自家的Privacy Badger、Android上的匿名网络应用Tor，到iOS上的Safari反追踪功能，都是用来帮助使用者保护隐私，但使用行动身份验证便可能让这些防护失效。

即便以匿名网络Tor或是VPN等保护措施，使用者的IP地址仍然会提供电信业者或是网站营运商相当多的资讯。使用行动身份验证登入的第三方应用程序或是网站必须要和电信业者连线，电信业者则可以完全追踪，并且销售使用者的资料。

基于安全以及隐私原因，EFF并不支持使用者使用行动身份验证，而他们一直以来推荐的方法，便是使用密码管理器来创建和管理强密码。