iOS 15 內建驗證碼產生器,兩步驟驗證免下載 Authenticator 應用程式

iOS 15 內建驗證碼產生器,兩步驟驗證免下載 Authenticator 應用程式

現今最安全、最有效的帳號保護機制就屬「雙重驗證」(Two-Factor Authentication),也就是在密碼以外加入另外一道防護,當使用者輸入正確密碼後,需要將驗證碼產生器隨機出現的數字填入才能成功登入,有時候也會以簡訊、Email 或是語音電話做為替代方案,確保登入者必須是本人。不過任何防護方式並非萬無一失,最好的作法還是要建立良好的安全觀念,例如在不同服務使用不同密碼(透過密碼管理工具產生強度足夠的密碼),在重要服務開啟兩步驟驗證功能等等。

Microsoft Authenticator 整合驗證碼和密碼管理器,雲端備份換機更方便(iOS、Android)

Microsoft Authenticator

當今最安全也最有效的帳號防護方式就是「兩步驟驗證」(Two-Factor Authentication),只要將此功能打開,就能在原有的密碼以外加上另一道防護,需要透過 OTP 應用程式取得隨機產生的驗證碼才能完成身分驗證,有些服務還會提供備用碼或以簡訊、Email 傳送驗證碼,避免手機遺失或遭竊時無法登入重設兩步驟驗證選項。因此在大部分的服務上我都建議將此選項設定開啟,即使密碼外洩也不用擔心帳號被登入使用。

USB-Dongle Authentication 查詢服務是否支援雙重驗證或 USB 安全金鑰

USB-Dongle Authentication 查詢服務是否支援雙重驗證或 USB 安全金鑰
Copyright : wavemovies / 123RF Stock Photos

這幾年大多數常見網路服務幾乎都已內建兩步驟驗證(雙重驗證,2FA),簡單來說,在原有只有密碼的驗證防護下加入另一道安全措施,例如在登入時需要輸入一次性密碼(One-time password,OTP),現在多半以手機應用程式產生,像是 Google Authenticator 或是可備份的 Authy 等等,或以簡訊方式接收驗證碼,這麼做即使在密碼被破解、遭竊時也不會被其他人登入取得帳號權限。

收到 Apple ID 在陌生裝置上登入通知,被盜用帳號三步驟解決問題

收到 Apple ID 在陌生裝置上登入通知,被盜用帳號三步驟解決問題
Copyright : Ivan Stajkovic / 123RF Stock Photos

最近看到有網友詢問「收到自己的 Apple ID 被登入」的 Email 通知,但不是自己的電腦或裝置,也不是在有印象的時間點發生,這種情形應該怎麼解決呢?依照官方網站說明如果你的 Apple ID 被用來登入你不認得的裝置,或是 Apple ID 密碼、帳號資訊被更新,這都是帳號遭到盜用的跡象,通常會出現在沒有設定過「雙重驗證」(兩步驟驗證)的帳號,因為 Apple ID 是用來存取 Apple 相關服務的重要帳號,記得要正視安全問題,以免自己遭受金錢或隱私上的損害。

Facebook 超過五億個資外洩!查詢你的帳號是否在受害名單

Facebook 超過五億個資外洩!查詢你的帳號是否在受害名單
Copyright : dimarik16 / 123RF Stock Photos

四月初網路再傳 Facebook 爆發用戶個資外洩事件,這次一共被竊取超過 5.3 億筆資料,其中受影響的美國帳戶超過 3000 萬,台灣則有 73 萬人左右,堪稱 Facebook 近期規模最大的資安事件。在媒體揭露後 Facebook 隨即澄清是 2019 年的漏洞,後來也已經修復,但對於當下沒有主動通知使用者進行更多安全補救措施飽受各界批評,Facebook 創辦人 Mark Zuckerberg 和另外兩位共同創辦人的電話號碼也在外洩資料中被發現。

Bitwarden 開放原始碼免費密碼管理器,可匯入其他密碼檔支援常見瀏覽器

Bitwarden 開放原始碼免費密碼管理器,可匯入密碼檔支援常見瀏覽器

知名的密碼管理工具 LastPass 在官網公告三月後調整免費方案,未來免費用戶只能在單一裝置類型存取密碼及使用同步功能,LastPass 將裝置區分為電腦(包括所有瀏覽器外掛)和行動裝置(智慧型手機、智慧手錶和平板電腦),這也意味著除非你只在其中一種裝置上使用,否則就必須付費升級才能維持其跨平台的便利性。當然現在大家幾乎都離不開手機,若你的密碼管理工具只能限制在電腦或手機擇一使用,還不如直接用離線密碼管理器就好,還少了可能被入侵而被竊取密碼的風險。

Adobe Account Access 登入時手機跳出通知,點選快速驗證免密碼

Adobe Account Access 登入時手機跳出通知,點選快速驗證免密碼

如果搜尋一下 Have I been pwned 或是資安相關新聞,會發現 Adobe 算得上是資料外洩的常客,被竊取的用戶個資不計其數,後來我乾脆在不同服務使用不同密碼組合,並且盡可能將兩步驟驗證或多重驗證功能打開,搭配上驗證碼產生器或是手機簡訊讓防護強度最大化,即使某個服務密碼外流也不用立即將所有密碼改掉,至於現在有些搭配應用程式驗證的方法也可做為參考。

開啟 Telegram 兩步驟驗證,手機接收簡訊後需再輸入靜態密碼才能登入

開啟 Telegram 兩步驟驗證,手機接收簡訊後需再輸入靜態密碼才能登入
Copyright : nikkimeel / 123RF Stock Photos

現今大多數的網路服務或應用程式都會提供兩步驟驗證防護,也就是在傳統的密碼驗證以外加上一道驗證碼機制,而驗證碼可能會透過 Google Authenticator 產生(或是應用程式本身就有驗證器,例如 Facebook),也能選擇以手機簡訊接收,而安全性最高的驗證方式不外乎是 YubiKey 實體金鑰,不過不是所有服務都支援,現階段來說只要在網路服務啟用兩步驟驗證就能獲得非常好的效果。

Google Authenticator 新增匯出帳戶功能,可將資料移轉到新手機

Google Authenticator 新增匯出帳戶功能,可將資料移轉到新手機

最近經常看到網路名人或部落客的網路帳號被盜用,有些可以尋求官方協助將帳號復原,如果是 Instagram 通常只能放棄已經經營一段時間、累積不少追蹤者的帳號,處理流程曠日廢時也沒什麼效率。不過保護帳號安全本來就是使用者的責任,我在以前的文章重複提醒很多次了,最簡單也最有效的防護方法就是將「兩步驟驗證」打開,在輸入正確密碼後需再經過一道驗證碼程序,驗證碼是隨機產生,除了常見的 Email、手機簡訊收驗證碼,還有驗證碼應用程式。

IG 帳號被盜被貼廣告?重設密碼、開啟雙重驗證防護更安全

IG 帳號被盜被貼廣告?重設密碼、開啟雙重驗證防護更安全

最近 Instagram 假雷朋詐騙廣告又來了!本以為這個詐騙手法已經成為過去式,距離上次大規模洗版已經超過一年多的時間,最近又有死灰復燃跡象,如果你看到 IG 好友突然貼出像上圖「Ray-Ban Only One Day!!!」或類似折扣資訊,請記得不要進入圖片標示的網站,因為這絕對是詐騙,而且付款後也收不到商品,甚至可能讓你的個資或信用卡資訊外洩!如果想購買商品還是選擇安全、可信賴的電商平台或實體店面才是正道。