已經有越來越多網站都發生資料庫被駭,造成大量帳密留出,因此各大科技龍頭像是 Apple、Google 、微軟、FaceBook 也都開始推出兩步驟驗證機制(或雙重驗證),當然蘋果也早已經替 Apple ID 提供雙重認證(Two-Factor Authentication,簡稱 2FA),能夠提供多一層安全保護,但是在其他像是 FB 或是網站要如何啟用多一道雙重認證機制呢?也許大家會想到 Google Authenticator ,不過不推薦使用那款,反而比較推薦 Authy 會更方便。
相信許多用戶想到要改密碼就頭痛,也沒辦法用頭腦記下各個網站的密碼,又怕自己的帳號與密碼被盜用,這時候就可以借助 Authy 兩部驗證工具所產生的驗證碼來加入第二道安全性。
為什麼不使用 Google Authenticator ?最主要是因為 Google Authenticator 無法透過雲端方式儲存,導致 App 刪除或手機重灌就會造成全部設定過的雙重認證資料都要重來,甚至還有些網站會因為你無法輸入雙驗證產生的金鑰,就導致無法讓取消 Google Authenticator ,因此瘋先生就要來推薦另一款比起 Google Authenticator 更好用的 Authy 讓大家一起了解學習。
其實現在不少網站或平台都已經加入「兩步驟驗證機制」功能,有的是直接透過行動電話取得簡訊驗證碼,但這種方式其實是有缺點,如果在一個收訊不好的地方,會導致簡訊收不到,甚至還可能要支付額外簡訊費用,因此瘋先生推薦另外一種免費又安全的驗證機制,直接利用 Authy 工具來產生驗證碼,如此一來,就算駭客取得了帳號和密碼,也沒辦法獲取第二道驗證碼金鑰,導致無法順利登入系統。
簡訊驗證不在安全
NIST研究發現到SMS是相當古老的協議,很容易存在安全問題,簡訊相當容易遭到攔截。
過外最大的社交新聞網站 Reddit 就坦承駭客在6月期間入侵了內部員工登入雲端及原始碼代管服務供應商的憑證,取得了2007年資料庫備份,更是發現到駭客攻擊管道是攔截員工簡訊,相同等於破解登入系統的雙因素驗證機制(Two Factor Authentication,2FA),因此 Reddit 也推薦用戶趕緊啟用驗證器所產生的驗證機制相對會更安全。
Authy 運作原理
Authy 認證幾採用一次性密碼(TOTP)加密算法,運作原理是當用戶進行「兩步驟驗證機制」時,會同時產生一組種子密鑰,此密鑰會直接透過掃描 QR Code 方式透過加密方式傳遞到存在 Authy 上 ,如此一來 Authy 就會存有該種子密鑰,而且Authy 是利用 TOTOP 的加密算法結合種子密鑰每過30秒就會產生一組認證碼,由於認證都是屬於一次性、不可猜測、生命週期短,能替帳號增強安全性。
Authy 支援Facebook、Yahoo、Gmail、Amazon、Twitter、Dropbox、Evernote、Github、Instagram、Teamviewer、Reddit、WordPress、Paypal等。
Authy
官方網站:https://www.authy.com
下載位置: iOS 版本 | Android 版 | 電腦版
Authy 註冊與啟用雙驗證教學
建議如果有網站有「兩步驟驗證機制」功能,就建議立即開啟,在底下這篇教學,教大家如何透過 臉書(FaceBook) 搭配 Authy 啟用雙驗證,其他系統也都是類似做法。
步驟 1
本次教學使用 iOS 版本來當範例,Android 版本操作方法也是相同。首先開啟 Authy App 後,會要求先輸入電話號碼進行註冊並且收簡訊驗證。忘記提醒如果是台灣,+Code 要選擇+886,其他國家用戶就選擇自己國家的國碼,後面就直接輸入手機號碼,如098xxxxxxx 。
步驟 2
完成後,點擊「+」,會要求輸入備份密碼,這功能最主要是提供後續App重裝或是設備重刷時,裝回 App 就必須輸入這組「備份密碼」才能將資料回復,可以算是一道安全防護機制。
步驟 3
以上設定完成後,接下來打開 FaceBook 網頁,點擊右上角「往下箭頭」>「設定」。
步驟 4
左側選單選擇「帳號安全和登入」。
步驟 5
雙重驗證區塊下方會看見「使用雙重驗證」,點擊右側「編輯」。
步驟 6
點選「立即開始」。
步驟 6
此時會有兩種雙重驗證方法,直接選右側「驗證應用程式」,點「下一步」繼續。
步驟 7
此時畫面會跳出雙重驗證 QR Code 和代碼。
步驟 8
回到 App 上面,點擊「Scan QR Code」透過 Authy App 相機掃描。
步驟 9
會顯示 FaceBook 帳號 ID ,點擊「Done」繼續,就會看見驗證器所產生的6位數驗證碼。
步驟 10
將驗證碼輸入至網頁上,輸入完畢點選「下一步」即可。
步驟 11
如此一來, FaceBook 雙重驗證就設定完成,如果不想每次都入都要求輸入,可將 1周無需使用代碼登入開啟,點擊「完成」即可。
其他網站像是Google(透過Google Authenticator設定頁面)、Gmail 、Reddit等也都是同樣方法,可以找一下帳號內的設定,看是否有能夠開啟雙重驗證機制,通常都可以使用 Authy 來啟用雙重驗證。
Authy 移除雙重驗證帳號
如果想要移除某個網站的雙重驗證,必須先到網站上停用雙重驗證,再到 App 內移除。
- 點選「Settings」
- 切換至「Accounts」
- 往左滑要移除的網站
- 點擊「Delete」,等待48小時候就會自動刪除。
Authy 增強安全性設定
為了提高 Authy 建議也到「My Account」頁面上,點擊「Security」將「App protection」、「Face ID Protection」、「Protect Entire App」三個開關全部打開。
Authy 移除重裝驗證還在嗎?
Authy是直接綁定電話號碼,當Authy App移除重裝後,打開 Authy 輸入電話號碼就會跳出要求輸入還原備份密碼,輸入完成後就會將所有的驗證還原回來,光是這點功能就比 Google Authenticator 還好用。
Authy 值得推薦理由
- 能夠相容有加入 Google Authenticator 驗證的網站
- 支援雲端同步和備份(備份資料都採用加密方式)
- 每個驗證碼都會在30秒後自動產生,提高安全度
- 支援 Chrome App 版本,透過電腦也可以使用
- Authy 也可透過 App 設定密碼鎖或 Face ID/Touch ID ,防止設備遺失後會導致流出
