一直以來我不斷宣導「兩步驟驗證」對於帳戶安全的重要性,也就是原有的密碼防護方式已經不夠安全,必須加上另一層保護才讓能避免密碼遭竊後被其他人登入,而現今大多數網路服務都會內建此功能。比較常見的兩步驟驗證多以手機簡訊傳送驗證碼或透過應用程式 Google Authenticator 產生驗證碼,為了避免驗證方式失效,部分服務還會同時提供多種驗證方式或備用碼。倘若你需要最高程度的安全防護,使用 U2F/FIDO 實體安全金鑰會是安全性最強的防護機制。
即使 Google 從 2014 年開始就支援 FIDO 聯盟的 U2F 身分認證技術,但因為在台灣不容易取得 YubiKey 這類實體金鑰(Google 的 Titan 安全金鑰只在部分國家販售),且當前價格仍然偏高,支援的服務有限,很多人可能不會考慮在 Google 或其他網路服務上使用實體安全金鑰進行驗證。
九月中我寫了一篇「PayPal 兩步驟驗證設定教學」後,決定來研究一下 YubiKey,恰巧 iOS 13 開放手機 NFC 功能,就上 Yubico 官方網站買了兩個 YubiKey 5 NFC,也許之後可以在行動裝置上進行實體金鑰驗證,會說也許的原因是 Google Smart Lock 當前僅支援以藍牙方式實體驗證,NFC 功能尚未開啟(Yubico 沒有考慮開發藍牙功能的安全金鑰),可能得等下一次應用程式更新。
如果你沒打算加入 Google「進階保護計劃」,安全金鑰的驗證方式可以和其他現有兩步驟驗證共存,若開啟進階保護計劃就會將安全性提升到最高,只允許透過實體安全金鑰認證,大多數需要存取 Gmail 或雲端硬碟資料的第三方應用程式都無法使用,很顯然這個保護計劃僅適用於高風險人士(例如記者、社會運動人士、企業領袖和政治競選團隊等等),一般使用者其實沒有必要使用所謂的進階保護計劃。
接下來我就實際操作一次將 YubiKey 設定為 Google 兩步驟驗證的方式,如果你是使用其他品牌的安全金鑰也是類似的設定步驟,當前支援 U2F 實體金鑰認證的網路服務已經越來越多,除了 Google 以外還有 AWS、Dropbox、Facebook、GitHub、Instagram 等服務。
使用教學
STEP 1
首先,你必須取得 YubiKey、Google Titan Security Key 或其他實體安全金鑰,通常會建議設定兩個,以免因為遺失安全金鑰而無法登入帳號。YubiKey 可以透過國外網站直接購買,會以平信方式寄到台灣,等待時間約為 10-20 天左右,較便宜的郵寄方案不會提供追蹤碼,可能會有寄丟的風險存在(如果不放心可以找找網路賣家或代購)。
STEP 2
接著前往 Google 帳戶的安全性設定功能,從登入 Google 下方找到「兩步驟驗證」設定選項。如果你現在已有其他的驗證方式就會顯示為打勾狀態。
STEP 3
從其他類型的第二驗證步驟下方找到「安全金鑰」,通常是搭配 USB 連接埠使用。
STEP 4
點選「新增安全金鑰」後就會出現將實體金鑰設定為驗證 Google 帳戶的畫面。
依照指示將安全金鑰 YubiKey 插入電腦上的 USB 連接埠,連接後如果安全金鑰上有按鈕或金色圓盤的話也記得用手輕觸,我一開始不知道就在這裡卡了一段時間,因為剛好電腦的 USB 連接埠在後面就沒注意到這個步驟。插入後裝置上的圓盤會閃爍,再以手指輕觸就會完成驗證。
瀏覽器也會一併跳出提示,Firefox 會顯示「使用您的一把安全性金鑰來註冊帳號」訊息在網址列左邊。
註冊後 Google 會要求使用者設定「安全金鑰名稱」,用以辨識不同的金鑰。
STEP 5
依序將安全金鑰設定到 Google 帳戶就大功告成了!Google 還會顯示新增的時間、上次使用日期,之後可以隨時回到 Google 安全性設定頁面進行調整或修改。
STEP 6
未來當你在陌生的電腦上登入 Google 帳戶時,瀏覽器就會跳出要求使用安全性金鑰驗證身分的提示訊息,這時候就要將金鑰插入 USB 連接埠,然後按一下按鈕或金色圓盤,如此一來就能夠通過驗證。
完成驗證後可以設定讓這部電腦以後不需要驗證,如果是自己的電腦就沒問題。
無論你有沒有打算使用 YubiKey 或其他實體安全金鑰,我都建議在 Google 或重要網路服務上將兩步驟驗證功能打開,可以參考以下幾篇我之前寫的教學文:
- 8 個線上服務「兩步驟驗證」設定說明,確保帳戶免於威脅
- 開啟 Instagram 雙重驗證教學,以安全驗證碼保護帳號避免盜用入侵
- Apple ID 全新「雙重驗證」設定教學!顯示登入位置,為帳號多一層安全保護
- 開啟 Google 兩步驟驗證提示,快速登入帳號免輸入驗證碼教學
值得一試的三個理由:
- 使用 U2F/FIDO 實體安全金鑰驗證身分,提升帳戶安全性
- Google 支援多種兩步驟驗證,可以同時設定
- 加入 Google 進階保護計劃能獲得最高的安全性,但會有一些限制
Ten articles before and after
換新手機如何備份和轉移 Google Authenticator 兩步驟驗證資料?
開啟 Telegram 兩步驟驗證,手機接收簡訊後需再輸入靜態密碼才能登入
Adobe 提供 Flash Player 解除安裝工具 Windows、Mac 使用者需下載移除
如何在瀏覽器不支援 Adobe Flash Player 後繼續播放 SWF 檔案?
跨平台 Brave 瀏覽器免費下載!兼具速度與隱私相容 Chrome 擴充功能
開啟 Microsoft Edge 瀏覽器睡眠索引標籤,最大幅度節省硬體資源使用
無痛轉移!微軟 Microsoft Edge 瀏覽器安裝 Chrome 擴充功能教學
使用 Mac 內建「系統移轉輔助程式」快速將資料移轉到新電腦