文章列表

EP47 - Google將自動啟用雙因素驗證,你準備好了嗎?

Podcast連結


前情提要

Google在五月初發表了一篇文章,討論了Google怎麼讓登入帳號變得更安全更簡單,這篇文章中也有提到 Google未來會逐漸開始自動開啟用戶帳號的雙因素認證。

文章連結:Google: A simpler and safer future — without passwords

Google提供了滿多雙因素認證的選項,今天我們要來介紹一下這些認證方式,帶大家了解一下哪個方式最適合自己。

重點回顧/前情提要:驗證身份的方式

GoogleMFA_2FA_options

方式一:電話和簡訊

在登入時除了帳號密碼以外,還要輸入收到的電話或簡訊裡面包含的六位數字。

最常見的一個方式,但也是最不安全的一種驗證方式之一,不安全的原因可以參考第28集的內容。

回顧:EP28 - 為什麼用簡訊作為驗證方式不安全?

因為不夠安全,除非不得已不然不要選擇使用這個驗證方式,但即便是使用電話和簡訊來驗證,也比完全不使用雙因素來的安全。

方式二:Google Authenticator

Google Authenticator使屬於基於時間的一次性密碼產生器

要使用需要先在手機上安裝Google Authenticator, Microsoft Authenticator 或是Authy這類型的驗證器,接著在驗證器上面掃描帳號設定裡面產生的QR code完成設定。

他的運作方式是在登入時,除了輸入帳號密碼以外,還要輸入手機上驗證器 App所產生的六位數密碼。

特性:

  • 六位數密碼每30秒會更換一次,增加破解的困難度
  • 產生的六位數密碼與你帳戶的帳號密碼沒有關係,即使你在不同的帳戶上使用相同的帳號密碼,身分驗證器產出來的密碼還是會不同
  • 身分驗證器裡綁定的帳戶無法輕易被複製或轉移,他人無法輕易把你的手機上身分驗證器內的資訊轉移到他們手機的身分驗證器裡
  • 並非完美,但能防止99%的帳號密碼被盜
  • 設定完成以後就不需要網路、藍芽連線,即使沒有訊號也可以正常的運作
  • 使用上較麻煩,每次登入都需要拿出手機查看六位數密碼
  • 需要在30秒內輸入六位數密碼,不然就要重新輸入新的密碼

設定教學:透過 Google Authenticator 取得驗證碼

方式三:Google 提示登入

這是一個比較少見,目前除了Google以外只有少數幾個產品有類似的雙因素認證方式。

使用這個方式來驗證時手機上會跳出提示通知,告訴你有人正試著要登入你的帳號

GoogleMFA_Google_Prompt_Phone_notification

並問你這是不是你,如果你選擇是的話他就會認定你完成了驗證,讓你登入

GoogleMFA_Google_Prompt_Phone_Confirm

特性:

  • 需要在手機上安裝Gmail、Google App或是Smart Lock這三個Google 的App的其中一個並登入Google帳號
  • 透過信任你已經登入的手機,把它視為你擁有的東西,並在未來把它作為一個驗證裝置
  • 目前最方便的一個方式,登入時會主動在手機上跳出通知,按下是或是否的按鈕就可以了
  • 需要有網路才能夠運作,在網路訊號比較不好時可能會收不到通知
  • 不適合做為唯一個雙因素驗證方式,如果遇到帳號被駭,導致我們需要登出所有裝置來避免駭客持續登入在我們的帳號裡時,這些被用來Google提示登入的裝置也會被登出,導致我們就沒有辦法繼續用這幾個App進行雙因素驗證,如果此時沒有其他的雙因素驗證方法我們就會需要透過比較麻煩的手法取回帳號控制權

即便這個驗證方式很方便,我會建議大家在使用的同時還要設定其他的驗證方式來以防萬一,不要把這個當作你唯一的雙因素驗證方式。

設定教學:使用 Google 提示登入

方法四:實體金鑰

常見的實體金鑰會是一個像USB隨身碟一樣小小的東西,當我們在輸入完帳號密碼以後,會需要將這個實體金鑰插到電腦上,並按一下金鑰上的按鈕來進行身份驗證。

youtuberhack yubikey

圖片來源:Yubico - Discovery YubiKeys

特性:

  • 各大公司跟平台都有支援U2F標準FIDO 2.0,在Windows、Mac、Android、iPhone上都可以使用
  • 一個實體金鑰可以用在很多不同的地方,並不是說一個金鑰只能給一個帳號用,也就是說一個實體金鑰可以同時給Google、Facebook、微軟等等的帳號用
  • 實體金鑰上不會儲存任何你的私人資訊,弄丟了也不用擔心駭客可以從他上面拿到你的資訊
  • 內建的防釣魚功能(當我們在帳號上綁定實體金鑰時,他會記錄你是在哪個網站綁定的。也就是說當我們在Google上綁定一個實體金鑰後,如果我們想要在一個釣魚網站上登入Google帳戶的話,實體金鑰不會讓我們登入)
  • 需要帶著這個實體金鑰,我相信不是每個人都會習慣隨身攜帶著一個像實體金鑰這樣的東西,一定多少都會遇到要登入某個帳號但是忘記帶金鑰的情況。再加上
  • 有遺失的風險,即便沒有使用者資訊,但遺失的話要登入的話會要使用其他的方式復原帳號,多少還是會比較麻煩。
  • 價格沒有很便宜,以最常見的Yubikey為例一隻金鑰的價格約為1200台幣起跳

總結來說,實體金鑰是一個捨棄了一些方便性來換來很高安全性的一個驗證方式。

設定教學:使用安全金鑰進行兩步驟驗證

方法五:手機內建的安全金鑰

類似Google 提示的進階版,要登入的時手機上也會跳出提醒告訴你有人試著要登入你的帳號,並問你這是不是你。最大的差別在於在登入的過程中除了跟你確認以外,手機還會透過藍芽的方式跟要登入的裝置溝通,進行多一層的驗證。

使用條件條件:

  • iPhone需使用iOS 10以上,Android則是要7.0以上的版本才支援這個功能
  • Android 7.0 以上的版本有內建這個功能,iPhone用戶則要下載 Smart Lock App
  • 手機和要登入的裝置都要開啟有藍芽

這個登入的方式比Google提示更安全,但限制也更多,除了要有網路以外,登入的裝置還需要有藍芽,因此適合的使用場合較少,但整體來說算是個方便性跟安全性都沒有捨去的一個選項。

設定教學:使用手機內建的安全金鑰

方法六:備用碼

我們在設定雙因素認證時提供給我們的幾組備用碼,在登入時可以輸入其中一組備用碼來作為雙因素認證。

GoogleMFA_Backup_code

建議的做法會是把備用碼印出來或是抄下來,透過實體紙本的方式保存。

備用碼不適合作為日常登入時的雙因素認證方式,他只是給我們備用的,如果哪天遇到手機被偷這類型的意外的話,我們就還是有辦法透過這些備用碼來登入。

設定教學:使用備用碼登入帳戶

雙因素驗證方式的選擇

我自己的使用習慣是以實體金鑰為主,手機內建的安全金鑰為輔,因為我大部分的時候都是在家裡自己的電腦上才會需要登入Google帳號,我不會在外面陌生或是別人的電腦上登入我的帳號,因此比較沒有要攜帶實體金鑰的問題。

大家主要還是要依照自己的使用習慣來選擇適合自己的認證方式,畢竟我們不能只考慮安全性完全忽略掉方便性跟可用性,在安全跟方便中找到適合自己的方法才是最重要的。

官方完整說明:透過兩步驟驗證機制保護您的帳戶

應用程式密碼

應用程式密碼是為了應對雙因素認證而推出的一個功能。

有時我們使用的第三方軟體/服務會需要跟我們的Google帳號做整合,此時會需要提供Google的帳號密碼給他們,但是這些第三方軟體和服務通常不支援使用雙因素認證,此時我們就可以使用應用程式密碼了。

GoogleMFA_ApplicationPassword

這些應用程式密碼會是由Google隨機產生的16位數的密碼,我們可以為每一個第三方軟體產生一個獨特、專屬的應用程式密碼,這組密碼就只能給這個軟體使用。

我們也可以隨時在Google帳號設定裡把密碼撤銷,讓其他人無法繼續使用這組應用程式密碼來登入。

這麼做的好處就是我們可以在開啟了雙因素驗證、而且不需要分享Google的主要密碼的前提下,授權給不同的應用程式一些權限,並且在有需要的時候進行管理。

設定教學:使用應用程式密碼登入帳戶

進階保護計畫

這個計畫是用來保護曝光度高、握有重要資訊或容易被針對帳號的,參加了Google會提供額外的保護來加強你帳號的防護來降低你的帳號被盜的可能性並且保護你的個人資訊。

根據Google官方建議容易成為線上針對性攻擊目標的使用者都註冊這個進階保護計畫,這包含了記者、社運人士、競選活動工作人員、企業領袖、IT 管理員等等的人。

當參與了這個計畫以後Google帳號會多了一些的限制,像是只能用實體安全金鑰或是手機內建的安全金鑰來登入,並且只有 Google 應用程式和一些通過驗證的第三方應用程式可以讀取我們的 Google 帳戶資料,如果未來發生登入問題的時候,我們會必須進行額外的步驟才能完成帳戶救援程序。

白話一點的來說就是,參與進階保護計畫以後,會有滿多跟第三方軟體整合的功能(像是應用程式密碼)都不能用了,而且每次在新的裝置登入時的驗證方式也比較嚴格,透過這些方式來犧牲方便性,換取安全性。

這個進階保護計畫不太適合一般用戶的日常使用,但是如果你覺得自己Google帳號內的資訊非常重要需要額外的保護的話,可以試試看參與這個計畫。

Google 進階保護計畫

官方說明:註冊進階保護計畫即可享有 Google 最強大的帳戶安全防護功能