當今最安全也最有效的帳號防護方式就是「兩步驟驗證」(Two-Factor Authentication),只要將此功能打開,就能在原有的密碼以外加上另一道防護,需要透過 OTP 應用程式取得隨機產生的驗證碼才能完成身分驗證,有些服務還會提供備用碼或以簡訊、Email 傳送驗證碼,避免手機遺失或遭竊時無法登入重設兩步驟驗證選項。因此在大部分的服務上我都建議將此選項設定開啟,即使密碼外洩也不用擔心帳號被登入使用。
帳號保安
USB-Dongle Authentication 查詢服務是否支援雙重驗證或 USB 安全金鑰
這幾年大多數常見網路服務幾乎都已內建兩步驟驗證(雙重驗證,2FA),簡單來說,在原有只有密碼的驗證防護下加入另一道安全措施,例如在登入時需要輸入一次性密碼(One-time password,OTP),現在多半以手機應用程式產生,像是 Google Authenticator 或是可備份的 Authy 等等,或以簡訊方式接收驗證碼,這麼做即使在密碼被破解、遭竊時也不會被其他人登入取得帳號權限。
Adobe Account Access 登入時手機跳出通知,點選快速驗證免密碼
如果搜尋一下 Have I been pwned 或是資安相關新聞,會發現 Adobe 算得上是資料外洩的常客,被竊取的用戶個資不計其數,後來我乾脆在不同服務使用不同密碼組合,並且盡可能將兩步驟驗證或多重驗證功能打開,搭配上驗證碼產生器或是手機簡訊讓防護強度最大化,即使某個服務密碼外流也不用立即將所有密碼改掉,至於現在有些搭配應用程式驗證的方法也可做為參考。
Google Authenticator 新增匯出帳戶功能,可將資料移轉到新手機
最近經常看到網路名人或部落客的網路帳號被盜用,有些可以尋求官方協助將帳號復原,如果是 Instagram 通常只能放棄已經經營一段時間、累積不少追蹤者的帳號,處理流程曠日廢時也沒什麼效率。不過保護帳號安全本來就是使用者的責任,我在以前的文章重複提醒很多次了,最簡單也最有效的防護方法就是將「兩步驟驗證」打開,在輸入正確密碼後需再經過一道驗證碼程序,驗證碼是隨機產生,除了常見的 Email、手機簡訊收驗證碼,還有驗證碼應用程式。
Cloudflare 現已支援 Security Key 驗證方式,加入實體安全金鑰增強防護
今年四月一日,Cloudflare 在官方部落格發布「Cloudflare now supports security keys with Web Authentication (WebAuthn)!」,在現有的兩階段驗證(2FA)安全防護外加上更嚴謹的實體金鑰驗證,對於擁有像是 YubiKey 這類安全金鑰的使用者來說就可在原有防護加入此驗證方式,大幅提升帳戶安全性。Cloudflare 可能是僅次於主機最重要的網路服務之一,不僅掌管著網域名稱解析 DNS 工作,也提供網站加速、流量分散和安全防護等等功能。
Authy 可備份的 Google Authenticator 替代方案,支援多裝置同步驗證碼
前幾天我在更換新的 iPhone 11 後寫下「換新手機如何備份和轉移 Google Authenticator 兩步驟驗證資料?」教學,事實上我忽略一件很重要的事,那就是 Google Authenticator 對於日後更換裝置或手機遺失來說非常不方便,一來它無法透過電腦進行資料備份,二來它沒有提供密碼鎖防護,像是現在經常使用的 Face ID、Touch ID 都不支援(Google 好像沒有很多心力在維護這個工具),而且它僅適用於行動裝置,要在電腦上進行兩步驟驗證必須拿起手機。
換新手機如何備份和轉移 Google Authenticator 兩步驟驗證資料?
一直以來我都有使用兩步驟驗證來保護並提高帳號安全性的習慣,也經常在文章想傳達給讀者的觀念,除了在重要服務設定高強度密碼(盡量使用密碼管理工具,讓每個服務使用不同密碼組合),也一定要將兩步驟驗證功能打開。但可能不是每個服務都那麼重要,我的想法是只要有牽涉到線上支付或信用卡的平台、和工作有關的重要項目一定會做兩步驟驗證,使用於第三方服務登入的帳號像是 Google、Facebook、Apple ID 也會需要最高的安全性,以實體金鑰 YubiKey 進行兩步驟驗證有助於獲得更好的防護。
申請加入 Google 進階保護計劃,為高風險人士打造最強安全防護機制
上次寫過一篇「以 YubiKey 實體安全金鑰設定 Google 兩步驟驗證教學」也是我的實體金鑰 U2F 初體驗,使用至今並沒有發生什麼問題,唯獨在 iPhone 行動裝置上暫時還無法進行驗證,雖然我是購買具備近距離無線通訊(NFC)功能的 YubiKey ,但 Google 驗證應用程式暫時只支援藍牙通訊,得等待未來更新,或許才有機會在行動裝置上使用實體金鑰驗證方式。
以 YubiKey 實體安全金鑰設定 Google 兩步驟驗證教學
一直以來我不斷宣導「兩步驟驗證」對於帳戶安全的重要性,也就是原有的密碼防護方式已經不夠安全,必須加上另一層保護才讓能避免密碼遭竊後被其他人登入,而現今大多數網路服務都會內建此功能。比較常見的兩步驟驗證多以手機簡訊傳送驗證碼或透過應用程式 Google Authenticator 產生驗證碼,為了避免驗證方式失效,部分服務還會同時提供多種驗證方式或備用碼。倘若你需要最高程度的安全防護,使用 U2F/FIDO 實體安全金鑰會是安全性最強的防護機制。
