以 YubiKey 實體安全金鑰設定 Google 兩步驟驗證教學

一直以來我不斷宣導「兩步驟驗證」對於帳戶安全的重要性，也就是原有的密碼防護方式已經不夠安全，必須加上另一層保護才讓能避免密碼遭竊後被其他人登入，而現今大多數網路服務都會內建此功能。比較常見的兩步驟驗證多以手機簡訊傳送驗證碼或透過應用程式 Google Authenticator 產生驗證碼，為了避免驗證方式失效，部分服務還會同時提供多種驗證方式或備用碼。倘若你需要最高程度的安全防護，使用 U2F/FIDO 實體安全金鑰會是安全性最強的防護機制。

即使 Google 從 2014 年開始就支援 FIDO 聯盟的 U2F 身分認證技術，但因為在台灣不容易取得 YubiKey 這類實體金鑰（Google 的 Titan 安全金鑰只在部分國家販售），且當前價格仍然偏高，支援的服務有限，很多人可能不會考慮在 Google 或其他網路服務上使用實體安全金鑰進行驗證。

九月中我寫了一篇「PayPal 兩步驟驗證設定教學」後，決定來研究一下 YubiKey，恰巧 iOS 13 開放手機 NFC 功能，就上 Yubico 官方網站買了兩個 YubiKey 5 NFC，也許之後可以在行動裝置上進行實體金鑰驗證，會說也許的原因是 Google Smart Lock 當前僅支援以藍牙方式實體驗證，NFC 功能尚未開啟（Yubico 沒有考慮開發藍牙功能的安全金鑰），可能得等下一次應用程式更新。

如果你沒打算加入 Google「進階保護計劃」，安全金鑰的驗證方式可以和其他現有兩步驟驗證共存，若開啟進階保護計劃就會將安全性提升到最高，只允許透過實體安全金鑰認證，大多數需要存取 Gmail 或雲端硬碟資料的第三方應用程式都無法使用，很顯然這個保護計劃僅適用於高風險人士（例如記者、社會運動人士、企業領袖和政治競選團隊等等），一般使用者其實沒有必要使用所謂的進階保護計劃。

接下來我就實際操作一次將 YubiKey 設定為 Google 兩步驟驗證的方式，如果你是使用其他品牌的安全金鑰也是類似的設定步驟，當前支援 U2F 實體金鑰認證的網路服務已經越來越多，除了 Google 以外還有 AWS、Dropbox、Facebook、GitHub、Instagram 等服務。

使用教學

STEP 1

首先，你必須取得 YubiKey、Google Titan Security Key 或其他實體安全金鑰，通常會建議設定兩個，以免因為遺失安全金鑰而無法登入帳號。YubiKey 可以透過國外網站直接購買，會以平信方式寄到台灣，等待時間約為 10-20 天左右，較便宜的郵寄方案不會提供追蹤碼，可能會有寄丟的風險存在（如果不放心可以找找網路賣家或代購）。

STEP 2

接著前往 Google 帳戶的安全性設定功能，從登入 Google 下方找到「兩步驟驗證」設定選項。如果你現在已有其他的驗證方式就會顯示為打勾狀態。

STEP 3

從其他類型的第二驗證步驟下方找到「安全金鑰」，通常是搭配 USB 連接埠使用。

STEP 4

點選「新增安全金鑰」後就會出現將實體金鑰設定為驗證 Google 帳戶的畫面。

依照指示將安全金鑰 YubiKey 插入電腦上的 USB 連接埠，連接後如果安全金鑰上有按鈕或金色圓盤的話也記得用手輕觸，我一開始不知道就在這裡卡了一段時間，因為剛好電腦的 USB 連接埠在後面就沒注意到這個步驟。插入後裝置上的圓盤會閃爍，再以手指輕觸就會完成驗證。

瀏覽器也會一併跳出提示，Firefox 會顯示「使用您的一把安全性金鑰來註冊帳號」訊息在網址列左邊。

註冊後 Google 會要求使用者設定「安全金鑰名稱」，用以辨識不同的金鑰。

STEP 5

依序將安全金鑰設定到 Google 帳戶就大功告成了！Google 還會顯示新增的時間、上次使用日期，之後可以隨時回到 Google 安全性設定頁面進行調整或修改。

STEP 6

未來當你在陌生的電腦上登入 Google 帳戶時，瀏覽器就會跳出要求使用安全性金鑰驗證身分的提示訊息，這時候就要將金鑰插入 USB 連接埠，然後按一下按鈕或金色圓盤，如此一來就能夠通過驗證。

完成驗證後可以設定讓這部電腦以後不需要驗證，如果是自己的電腦就沒問題。

無論你有沒有打算使用 YubiKey 或其他實體安全金鑰，我都建議在 Google 或重要網路服務上將兩步驟驗證功能打開，可以參考以下幾篇我之前寫的教學文：

• 8 個線上服務「兩步驟驗證」設定說明，確保帳戶免於威脅
• 開啟 Instagram 雙重驗證教學，以安全驗證碼保護帳號避免盜用入侵
• Apple ID 全新「雙重驗證」設定教學！顯示登入位置，為帳號多一層安全保護
• 開啟 Google 兩步驟驗證提示，快速登入帳號免輸入驗證碼教學