
這幾年大多數常見網路服務幾乎都已內建兩步驟驗證(雙重驗證,2FA),簡單來說,在原有只有密碼的驗證防護下加入另一道安全措施,例如在登入時需要輸入一次性密碼(One-time password,OTP),現在多半以手機應用程式產生,像是 Google Authenticator 或是可備份的 Authy 等等,或以簡訊方式接收驗證碼,這麼做即使在密碼被破解、遭竊時也不會被其他人登入取得帳號權限。
這幾年大多數常見網路服務幾乎都已內建兩步驟驗證(雙重驗證,2FA),簡單來說,在原有只有密碼的驗證防護下加入另一道安全措施,例如在登入時需要輸入一次性密碼(One-time password,OTP),現在多半以手機應用程式產生,像是 Google Authenticator 或是可備份的 Authy 等等,或以簡訊方式接收驗證碼,這麼做即使在密碼被破解、遭竊時也不會被其他人登入取得帳號權限。
今年四月一日,Cloudflare 在官方部落格發布「Cloudflare now supports security keys with Web Authentication (WebAuthn)!」,在現有的兩階段驗證(2FA)安全防護外加上更嚴謹的實體金鑰驗證,對於擁有像是 YubiKey 這類安全金鑰的使用者來說就可在原有防護加入此驗證方式,大幅提升帳戶安全性。Cloudflare 可能是僅次於主機最重要的網路服務之一,不僅掌管著網域名稱解析 DNS 工作,也提供網站加速、流量分散和安全防護等等功能。
上次寫過一篇「以 YubiKey 實體安全金鑰設定 Google 兩步驟驗證教學」也是我的實體金鑰 U2F 初體驗,使用至今並沒有發生什麼問題,唯獨在 iPhone 行動裝置上暫時還無法進行驗證,雖然我是購買具備近距離無線通訊(NFC)功能的 YubiKey ,但 Google 驗證應用程式暫時只支援藍牙通訊,得等待未來更新,或許才有機會在行動裝置上使用實體金鑰驗證方式。
一直以來我不斷宣導「兩步驟驗證」對於帳戶安全的重要性,也就是原有的密碼防護方式已經不夠安全,必須加上另一層保護才讓能避免密碼遭竊後被其他人登入,而現今大多數網路服務都會內建此功能。比較常見的兩步驟驗證多以手機簡訊傳送驗證碼或透過應用程式 Google Authenticator 產生驗證碼,為了避免驗證方式失效,部分服務還會同時提供多種驗證方式或備用碼。倘若你需要最高程度的安全防護,使用 U2F/FIDO 實體安全金鑰會是安全性最強的防護機制。
在電腦前大多數時間可能都和瀏覽器脫離不了關係,很多工作也能在線上完成,瀏覽器就變得相當重要,至少要能保障我們在上網瀏覽的安全隱私。根據 NSS Labs 去年做的網頁瀏覽器安全性調查報告中 Microsoft Edge 被列為榜首,可有效防止 99% 的網路釣魚攻擊(Phishing Attacks),相較於大部分使用者用的 Google Chrome、Firefox 更為安全,無論你信不信,上網安全確實是現代人必須要重視的議題。
本文參考資料為 15 wp-config Snippets to Configure Your WordPress Site, 原作者 Preethi Ranjit。
現在遇到想架站的朋友,我都二話不說直接推薦使用 WordPress,大家都知道 WordPress 分成兩種:WordPress.com 和 WordPress.org(或被稱為 Self-hosted),前者如同 Blogger 是一個免費網誌平台,後者則是開放原始碼程式,必須搭配網域名稱和虛擬主機才能夠把網站架設起來。每次搬家轉換都會有所損耗,無論是時間、金錢或好不容易累積起來的流量及搜尋引擎最佳化成績,還是那句老話「長痛不如短痛」,最好能一開始就把方向設定清楚。
之前曾經寫過一篇關於「Clef 讓你登入 WordPress 網站免輸入帳號密碼,全新兩步驟驗證自動登入超安全!」外掛教學,當時是用於自行架站,可以透過手機掃描功能直接登入控制台,無須輸入帳號密碼,藉此達到更高安全性及方便等特性。本文介紹的延伸應用,能把你手機上的 Clef 應用程式連結到 Facebook、Twitter、Google 或者任何你常用的服務,透過掃描方式來快速登入帳號,或者隨時遠端登出。
有心人士利用偽造的登入頁面來釣魚、取得使用者密碼已經不是新聞,即便是現今登入頁面都已經加上 SSL 憑證保護,登入前若沒有仔細檢查,也是很可能誤入陷阱,尤其許多人可能習慣在不同的網路服務使用相同的帳號、密碼組合,當密碼被竊取後,造成的影響會比想像中還要更加嚴重。
本文參考資料為 How to Improve the Security of your WordPress Blog, 已取得原作者 Amit Agarwal 授權。
大約一個月前,這個部落格被黑客入侵(編按:Amit Agarwal 的網站)。而其他托管於相同主機商的網站像是 ctrlq.org 和 hundredzeros.com 也深受其害,黑客成功從網路上拿下了這些網站。
托管網站的主機商表示這可能發生於某些使用舊版的 WordPress 網站,導致密碼不幸洩漏,這段時間雖然歷經一些艱難,但幸運的是被刪除的網站已經回復,且流量也回到正常。