這幾年大多數常見網路服務幾乎都已內建兩步驟驗證(雙重驗證,2FA),簡單來說,在原有只有密碼的驗證防護下加入另一道安全措施,例如在登入時需要輸入一次性密碼(One-time password,OTP),現在多半以手機應用程式產生,像是 Google Authenticator 或是可備份的 Authy 等等,或以簡訊方式接收驗證碼,這麼做即使在密碼被破解、遭竊時也不會被其他人登入取得帳號權限。
USB-Dongle Authentication 查詢服務是否支援雙重驗證或 USB 安全金鑰
兩階段驗證
Facebook 超過五億個資外洩!查詢你的帳號是否在受害名單
四月初網路再傳 Facebook 爆發用戶個資外洩事件,這次一共被竊取超過 5.3 億筆資料,其中受影響的美國帳戶超過 3000 萬,台灣則有 73 萬人左右,堪稱 Facebook 近期規模最大的資安事件。在媒體揭露後 Facebook 隨即澄清是 2019 年的漏洞,後來也已經修復,但對於當下沒有主動通知使用者進行更多安全補救措施飽受各界批評,Facebook 創辦人 Mark Zuckerberg 和另外兩位共同創辦人的電話號碼也在外洩資料中被發現。
Adobe Account Access 登入時手機跳出通知,點選快速驗證免密碼
如果搜尋一下 Have I been pwned 或是資安相關新聞,會發現 Adobe 算得上是資料外洩的常客,被竊取的用戶個資不計其數,後來我乾脆在不同服務使用不同密碼組合,並且盡可能將兩步驟驗證或多重驗證功能打開,搭配上驗證碼產生器或是手機簡訊讓防護強度最大化,即使某個服務密碼外流也不用立即將所有密碼改掉,至於現在有些搭配應用程式驗證的方法也可做為參考。
開啟 Telegram 兩步驟驗證,手機接收簡訊後需再輸入靜態密碼才能登入
現今大多數的網路服務或應用程式都會提供兩步驟驗證防護,也就是在傳統的密碼驗證以外加上一道驗證碼機制,而驗證碼可能會透過 Google Authenticator 產生(或是應用程式本身就有驗證器,例如 Facebook),也能選擇以手機簡訊接收,而安全性最高的驗證方式不外乎是 YubiKey 實體金鑰,不過不是所有服務都支援,現階段來說只要在網路服務啟用兩步驟驗證就能獲得非常好的效果。
Google Authenticator 新增匯出帳戶功能,可將資料移轉到新手機
Cloudflare 現已支援 Security Key 驗證方式,加入實體安全金鑰增強防護
今年四月一日,Cloudflare 在官方部落格發布「Cloudflare now supports security keys with Web Authentication (WebAuthn)!」,在現有的兩階段驗證(2FA)安全防護外加上更嚴謹的實體金鑰驗證,對於擁有像是 YubiKey 這類安全金鑰的使用者來說就可在原有防護加入此驗證方式,大幅提升帳戶安全性。Cloudflare 可能是僅次於主機最重要的網路服務之一,不僅掌管著網域名稱解析 DNS 工作,也提供網站加速、流量分散和安全防護等等功能。
Authy 可備份的 Google Authenticator 替代方案,支援多裝置同步驗證碼
前幾天我在更換新的 iPhone 11 後寫下「換新手機如何備份和轉移 Google Authenticator 兩步驟驗證資料?」教學,事實上我忽略一件很重要的事,那就是 Google Authenticator 對於日後更換裝置或手機遺失來說非常不方便,一來它無法透過電腦進行資料備份,二來它沒有提供密碼鎖防護,像是現在經常使用的 Face ID、Touch ID 都不支援(Google 好像沒有很多心力在維護這個工具),而且它僅適用於行動裝置,要在電腦上進行兩步驟驗證必須拿起手機。
換新手機如何備份和轉移 Google Authenticator 兩步驟驗證資料?
一直以來我都有使用兩步驟驗證來保護並提高帳號安全性的習慣,也經常在文章想傳達給讀者的觀念,除了在重要服務設定高強度密碼(盡量使用密碼管理工具,讓每個服務使用不同密碼組合),也一定要將兩步驟驗證功能打開。但可能不是每個服務都那麼重要,我的想法是只要有牽涉到線上支付或信用卡的平台、和工作有關的重要項目一定會做兩步驟驗證,使用於第三方服務登入的帳號像是 Google、Facebook、Apple ID 也會需要最高的安全性,以實體金鑰 YubiKey 進行兩步驟驗證有助於獲得更好的防護。
Steam 帳號被盜怎麼辦?重設密碼並開啟 Steam Guard 兩步驟驗證防護
申請加入 Google 進階保護計劃,為高風險人士打造最強安全防護機制
上次寫過一篇「以 YubiKey 實體安全金鑰設定 Google 兩步驟驗證教學」也是我的實體金鑰 U2F 初體驗,使用至今並沒有發生什麼問題,唯獨在 iPhone 行動裝置上暫時還無法進行驗證,雖然我是購買具備近距離無線通訊(NFC)功能的 YubiKey ,但 Google 驗證應用程式暫時只支援藍牙通訊,得等待未來更新,或許才有機會在行動裝置上使用實體金鑰驗證方式。