免費資源指南,每日網路資訊與科技新知
今年四月一日,Cloudflare 在官方部落格發布「Cloudflare now supports security keys with Web Authentication (WebAuthn)!」,在現有的兩階段驗證(2FA)安全防護外加上更嚴謹的實體金鑰驗證,對於擁有像是 YubiKey 這類安全金鑰的使用者來說就可在原有防護加入此驗證方式,大幅提升帳戶安全性。Cloudflare 可能是僅次於主機最重要的網路服務之一,不僅掌管著網域名稱解析 DNS 工作,也提供網站加速、流量分散和安全防護等等功能。
前幾天我在更換新的 iPhone 11 後寫下「換新手機如何備份和轉移 Google Authenticator 兩步驟驗證資料?」教學,事實上我忽略一件很重要的事,那就是 Google Authenticator 對於日後更換裝置或手機遺失來說非常不方便,一來它無法透過電腦進行資料備份,二來它沒有提供密碼鎖防護,像是現在經常使用的 Face ID、Touch ID 都不支援(Google 好像沒有很多心力在維護這個工具),而且它僅適用於行動裝置,要在電腦上進行兩步驟驗證必須拿起手機。
一直以來我都有使用兩步驟驗證來保護並提高帳號安全性的習慣,也經常在文章想傳達給讀者的觀念,除了在重要服務設定高強度密碼(盡量使用密碼管理工具,讓每個服務使用不同密碼組合),也一定要將兩步驟驗證功能打開。但可能不是每個服務都那麼重要,我的想法是只要有牽涉到線上支付或信用卡的平台、和工作有關的重要項目一定會做兩步驟驗證,使用於第三方服務登入的帳號像是 Google、Facebook、Apple ID 也會需要最高的安全性,以實體金鑰 YubiKey 進行兩步驟驗證有助於獲得更好的防護。
上次寫過一篇「以 YubiKey 實體安全金鑰設定 Google 兩步驟驗證教學」也是我的實體金鑰 U2F 初體驗,使用至今並沒有發生什麼問題,唯獨在 iPhone 行動裝置上暫時還無法進行驗證,雖然我是購買具備近距離無線通訊(NFC)功能的 YubiKey ,但 Google 驗證應用程式暫時只支援藍牙通訊,得等待未來更新,或許才有機會在行動裝置上使用實體金鑰驗證方式。
中國大陸的網路服務經常跟著政策朝令夕改,有時候前一刻還可以走的途徑可能過一段時間就無法使用,舉例來說,很多人都會遇到「百度帳號」註冊問題,我們沒有中國的手機門號所以很難通過註冊的驗證程序,去年還能透過旗下其他服務獲取帳戶,後來這個方法就被改掉了。不過因為百度的服務很多,有網站管理員會用到的「百度站長平台」或一般使用者下載檔案的「百度網盤」都得有帳號才能使用,可以的話還是盡量想辦法註冊百度帳戶才能完整使用這些服務。
一直以來我不斷宣導「兩步驟驗證」對於帳戶安全的重要性,也就是原有的密碼防護方式已經不夠安全,必須加上另一層保護才讓能避免密碼遭竊後被其他人登入,而現今大多數網路服務都會內建此功能。比較常見的兩步驟驗證多以手機簡訊傳送驗證碼或透過應用程式 Google Authenticator 產生驗證碼,為了避免驗證方式失效,部分服務還會同時提供多種驗證方式或備用碼。倘若你需要最高程度的安全防護,使用 U2F/FIDO 實體安全金鑰會是安全性最強的防護機制。
根據 Firefox Monitor 網站給使用者的安全說明,有提到「停止重複使用相同密碼」,這個意思就是不要在不同的網路服務使用相同的密碼組合,避免因其中一組密碼外洩而使其他帳號陷入危險,若要一次變更那麼多密碼也相當耗費時間。但我們又無法記住那麼多不同的密碼組合,這時候就必須借助密碼管理工具,例如 KeePass Password Safe,而我個人則偏好 Master Password 可以單一主密碼來計算並產生多種隨機密碼組合。
網路服務因為漏洞或被入侵導致大規模密碼外洩層出不窮,如果以 Pwned Passwords 或 Firefox Monitor 檢測一下應該很難倖免,雖然大多數服務都聲稱將密碼加密處理後再進行保存,但有沒有明碼因而洩漏誰也無法保證。之前 Google 推出 Password Checkup 密碼檢查工具可以協助使用者確認當前使用的密碼是否安全,用於比對現在已知的外洩密碼資料庫,就能在密碼可能不夠安全時收到提醒。