今年四月一日,Cloudflare 在官方部落格發布「Cloudflare now supports security keys with Web Authentication (WebAuthn)!」,在現有的兩階段驗證(2FA)安全防護外加上更嚴謹的實體金鑰驗證,對於擁有像是 YubiKey 這類安全金鑰的使用者來說就可在原有防護加入此驗證方式,大幅提升帳戶安全性。Cloudflare 可能是僅次於主機最重要的網路服務之一,不僅掌管著網域名稱解析 DNS 工作,也提供網站加速、流量分散和安全防護等等功能。
免費資源網路社群一直都使用 Cloudflare 提供讀者最快、最順暢的瀏覽速度,對於相關功能我也持續追蹤關注,透過親身使用經驗撰寫教學分享給大家,例如:
- 使用 Cloudflare Workers 提高 WordPress 速度和效能教學
- 讓 Cloudflare 成為免費 DNS 代管,不開啟 CDN 或 WAF 加速防護功能
- 使用 Cloudflare 的 Page Rule 增強 WordPress 安全性和效能教學
- 使用 Cloudflare 防火牆 Zone Lockdown 保護網站控制台及登入頁面教學
如果你和我一樣是自架站的站長應該會很有幫助。
前段時間我也對時下很流行(但好像尚未普及)的實體安全金鑰 YubiKey 寫了幾篇教學和心得,甚至是加入 Google 進階保護計劃可最大程度提高安全防護。不過話說回來我認為使用兩步驟驗證就非常安全了,當然也要配合好的使用習慣,像是使用安全強度足夠的密碼,盡量在不同的服務使用不同的密碼組合。
接下來我要紀錄一下在 Cloudflare 加入實體安全金鑰的操作教學,這裡有幾個你會想知道的重點,Cloudflare 在很早以前就已支援兩步驟驗證,透過 App 產生臨時的登入驗證碼(例如使用 Google Authenticator),實體安全金鑰可加也可不加;Cloudflare 允許使用者讓實體金鑰、兩階段驗證和備份碼同時並存,如果登入時身邊沒有實體金鑰也可以使用原有的驗證碼方式進行登入。
Cloudflare
https://www.cloudflare.com/zh-tw/
使用教學
STEP 1
登入 Cloudflare 控制台後點選右上角 My Account,接著找到「Authentication」進入驗證設定功能,點選 Two-Factor Authentication 後方的 Manage 管理兩步驟驗證方式,如果你原本已經開啟兩步驟驗證,這裡會顯示為綠色的啟用狀態。
STEP 2
接著會看到幾種驗證方式,找到 Security Key Authentication 加入你的實體金鑰。
STEP 3
要加入新的實體安全金鑰前,Cloudflare 會要求你先插入實體金鑰,接著輸入密碼。
STEP 4
通過密碼驗證後,瀏覽器會跳出 Cloudflare 要使用你的安全性金鑰提示畫面,必須要插入 USB 然後輕觸上方的感應區域才會完成驗證。
成功加入後為你的安全金鑰設定一個易於辨識的名稱。如果你有好幾支金鑰的話建議分別加入,以防止金鑰遺失或損壞等問題發生,不過 Cloudflare 允許讓實體金鑰和兩步驟驗證方式同時存在,即使手邊沒有 YubiKey 依然可以選擇其他方式驗證登入。
STEP 5
成功加入金鑰後就會顯示於 Cloudflare 帳戶的驗證設定,若不想繼續使用此驗證方式也可進入編輯功能將金鑰從帳戶中移除。
設定後預設的 Cloudflare 登入驗證方式會變成以實體安全金鑰為主,登入時會要求插入安全性金鑰、碰觸進行驗證,當然你也可以取消,選擇其他的驗證方式,例如你原有的行動裝置 App 驗證碼產生器就派得上用場,建驗設定多個登入驗證以防止其他的方式失效或無法使用。
值得一試的三個理由:
- Cloudflare 支援使用實體安全金鑰例如 YubiKey 進行登入驗證
- 除了實體金鑰,亦可使用行動裝置 App 產生登入驗證碼
- 允許多種驗證方式同時存在,無法使用安全金鑰可選擇其他驗證方式
