最近經常看到網路名人或部落客的網路帳號被盜用,有些可以尋求官方協助將帳號復原,如果是 Instagram 通常只能放棄已經經營一段時間、累積不少追蹤者的帳號,處理流程曠日廢時也沒什麼效率。不過保護帳號安全本來就是使用者的責任,我在以前的文章重複提醒很多次了,最簡單也最有效的防護方法就是將「兩步驟驗證」打開,在輸入正確密碼後需再經過一道驗證碼程序,驗證碼是隨機產生,除了常見的 Email、手機簡訊收驗證碼,還有驗證碼應用程式。
兩階段驗證
Cloudflare 現已支援 Security Key 驗證方式,加入實體安全金鑰增強防護
今年四月一日,Cloudflare 在官方部落格發布「Cloudflare now supports security keys with Web Authentication (WebAuthn)!」,在現有的兩階段驗證(2FA)安全防護外加上更嚴謹的實體金鑰驗證,對於擁有像是 YubiKey 這類安全金鑰的使用者來說就可在原有防護加入此驗證方式,大幅提升帳戶安全性。Cloudflare 可能是僅次於主機最重要的網路服務之一,不僅掌管著網域名稱解析 DNS 工作,也提供網站加速、流量分散和安全防護等等功能。
Authy 可備份的 Google Authenticator 替代方案,支援多裝置同步驗證碼
前幾天我在更換新的 iPhone 11 後寫下「換新手機如何備份和轉移 Google Authenticator 兩步驟驗證資料?」教學,事實上我忽略一件很重要的事,那就是 Google Authenticator 對於日後更換裝置或手機遺失來說非常不方便,一來它無法透過電腦進行資料備份,二來它沒有提供密碼鎖防護,像是現在經常使用的 Face ID、Touch ID 都不支援(Google 好像沒有很多心力在維護這個工具),而且它僅適用於行動裝置,要在電腦上進行兩步驟驗證必須拿起手機。
換新手機如何備份和轉移 Google Authenticator 兩步驟驗證資料?
一直以來我都有使用兩步驟驗證來保護並提高帳號安全性的習慣,也經常在文章想傳達給讀者的觀念,除了在重要服務設定高強度密碼(盡量使用密碼管理工具,讓每個服務使用不同密碼組合),也一定要將兩步驟驗證功能打開。但可能不是每個服務都那麼重要,我的想法是只要有牽涉到線上支付或信用卡的平台、和工作有關的重要項目一定會做兩步驟驗證,使用於第三方服務登入的帳號像是 Google、Facebook、Apple ID 也會需要最高的安全性,以實體金鑰 YubiKey 進行兩步驟驗證有助於獲得更好的防護。
Steam 帳號被盜怎麼辦?重設密碼並開啟 Steam Guard 兩步驟驗證防護
申請加入 Google 進階保護計劃,為高風險人士打造最強安全防護機制
上次寫過一篇「以 YubiKey 實體安全金鑰設定 Google 兩步驟驗證教學」也是我的實體金鑰 U2F 初體驗,使用至今並沒有發生什麼問題,唯獨在 iPhone 行動裝置上暫時還無法進行驗證,雖然我是購買具備近距離無線通訊(NFC)功能的 YubiKey ,但 Google 驗證應用程式暫時只支援藍牙通訊,得等待未來更新,或許才有機會在行動裝置上使用實體金鑰驗證方式。
以 YubiKey 實體安全金鑰設定 Google 兩步驟驗證教學
一直以來我不斷宣導「兩步驟驗證」對於帳戶安全的重要性,也就是原有的密碼防護方式已經不夠安全,必須加上另一層保護才讓能避免密碼遭竊後被其他人登入,而現今大多數網路服務都會內建此功能。比較常見的兩步驟驗證多以手機簡訊傳送驗證碼或透過應用程式 Google Authenticator 產生驗證碼,為了避免驗證方式失效,部分服務還會同時提供多種驗證方式或備用碼。倘若你需要最高程度的安全防護,使用 U2F/FIDO 實體安全金鑰會是安全性最強的防護機制。
PayPal 兩步驟驗證設定教學,以手機簡訊或應用程式降低被盜用風險
當今最安全可靠的帳戶驗證方式是透過 U2F/FIDO 實體安全金鑰,也就是在登入時以實體裝置驗證身分(USB、藍牙或 NFC),不過必須額外購買實體金鑰,若不是要求非常高的安全性,通常會使用常見的「兩步驟驗證」方式替代,兩步驟驗證我已經在不少文章教學裡提過,只要透過手機應用程式(例如 Google Authenticator)就能在登入時帳號密碼以外多加上一道驗證,或是連結到手機號碼,透過簡訊方式接收驗證碼,現在如果服務有支援兩步驟驗證我一律都會開啟。
Firefox Monitor 預設保護瀏覽器帳號,遭遇個資外洩事件發送 Email 警報通知
以往我們會透過「Have I been pwned?」檢查自己的 Email 有沒有在這資安事件外洩的受害名單,或是利用 Pwned Passwords 看看密碼有無被竊取,事實上這些網站的安全性沒有問題,不過可能很多人不願意將個資輸入這些網站查詢,因此去年開始 Mozilla 就推出 Firefox Monitor 服務,和幾個管道合作(當中也包含知名的 Have I beed pwned?)讓使用者將手邊 Email 加入監控,一旦發現電子郵件地址出現在資安事件洩漏的清單就會通知使用者。
Firefox Monitor 檢測你的 Email 有無因資安事件而遭到竊取外洩
網路上有個非常有名的網站「Have I been pwned?」,收集歷年歷次被駭客入侵網路服務洩漏出來的個資,只要輸入 Email 就能知道自己有沒有在受害者名單之列,幾年前 Dropbox 曾發生過遭駭客入侵外流 6800 萬組帳號密碼的重大資安事件,使用者也可以透過此網站查找。後來甚至推出 Pwned Passwords 幫你比對自己的密碼有沒有被洩漏到網路上,事實上當年這網站就已經取得流傳於網路上超過三億筆的密碼檔,雖然不一定會直接對使用者造成危害,但不得不說這也是一項非常重要的安全資訊。