現今最安全、最有效的帳號保護機制就屬「雙重驗證」(Two-Factor Authentication),也就是在密碼以外加入另外一道防護,當使用者輸入正確密碼後,需要將驗證碼產生器隨機出現的數字填入才能成功登入,有時候也會以簡訊、Email 或是語音電話做為替代方案,確保登入者必須是本人。不過任何防護方式並非萬無一失,最好的作法還是要建立良好的安全觀念,例如在不同服務使用不同密碼(透過密碼管理工具產生強度足夠的密碼),在重要服務開啟兩步驟驗證功能等等。
驗證碼
Adobe Account Access 登入時手機跳出通知,點選快速驗證免密碼
如果搜尋一下 Have I been pwned 或是資安相關新聞,會發現 Adobe 算得上是資料外洩的常客,被竊取的用戶個資不計其數,後來我乾脆在不同服務使用不同密碼組合,並且盡可能將兩步驟驗證或多重驗證功能打開,搭配上驗證碼產生器或是手機簡訊讓防護強度最大化,即使某個服務密碼外流也不用立即將所有密碼改掉,至於現在有些搭配應用程式驗證的方法也可做為參考。
Privacy Pass 遇到 Cloudflare、hCaptcha 驗證碼畫面時快速通過(Chrome、Firefox)
瀏覽網頁時偶爾會跳出要求驗證是真人的驗證碼(CAPTCHA),除了點選「我不是機器人」外,有時候還會出現讓使用者選取包含某個主題的所有相片,這項服務最知名的就屬 reCAPTCHA(後來被 Google 收購),早期以輸入看到的英文字串進行驗證,這也是利用人類幫助典籍數位化的過程,因為光學文字辨識技術無法準確判讀,就改為顯示給使用者做為驗證碼協助辨識,後來也有使用 Google 街景拍攝的門牌號碼做為照片。另一家做驗證碼服務的公司 hCaptcha 在 Cloudflare 決定採用後受到關注,如果會看到後者通常是網站或部落格採用 Cloudflare 服務為了避免被流量攻擊或濫用才跳出來的驗證防護功能。