標籤彙整: 兩步驟驗證

什麼是兩步驟驗證?驗證碼產生優缺點分析(Google Authenticator, myPass認證碟)

解決帳號被盜的好辦法

什麼是兩步驟驗證?簡單的來說,就是不小心洩漏了密碼,別人也無法登入你的帳戶,這不僅是「預防」帳號被盜的好辦法,同時也是「治療」盜號被盜時的一帖良藥,我個人認為,每個人都應該要即刻導入「兩步驟驗證」。

而「兩步驟驗證」的作法,就是在登入時,除了要輸入你原本的「密碼」之外,並且還要再輸入另外一組「浮動」的「驗證碼」,而這組「驗證碼」是則「驗證器」配合一組「金鑰」及「時間」所產生,也就是這組所產生的驗證碼,是有「時效性」的,它的時效就是「30秒」,所以只要你在設定「兩步驟驗證」時,將產生出來的金鑰密碼保存好(建議忘記它,不要留下任何記錄),那就算是密碼被盜,對方也絕對無法登入你的帳戶的。
4057-01(圖片來源:Google 兩步驟驗證)

因此,「兩步驟驗證」的重點,就是「驗證碼」如何產生?用什麼產生?

目前絕大部份重要的網站服務,都已經有支援「兩步驟驗證」,像是GoogleMicrosoftEvernoteDropbox…等等,甚至是線上遊戲,也開始導入這種驗證方式,如暴風雪系列的遊戲(魔獸世界、暗黑破壞神…)。

而「驗證碼產生器」可以是「軟體」,像是智慧型Android手機專用的「Google Authenticator」、Windows電腦專用的「WinAuth」,我都將它們歸類在「軟體」。而在「硬體」方面,魔獸世界也有銷售像「BB Call」的驗證碼產生器,另外「全景軟體」類似USB隨身碟裝置的「myPass認證碟」等,都是屬於「硬體」,而無論是使用哪種方式,都有它的優缺點,只要挑選適合自己的方式,效果都是一樣的。

當時候我原本也是捥拒了「全景軟體」的邀請,後來才看到他們的產品,居然有個是跟「兩步驟驗證」相關的產品「myPass認證碟」,這才引起我的興趣,因為市面上好像比較少這類硬體式的設備,所以就接受了他們的試用邀請,來把我試用的結果及感覺,客觀的分享給大家。
4057-02

「驗證碼產生器」優缺點分析

「軟體」類的驗證碼產生器,絕大部份都是「免費」的,這是它最大的優點,因此若你有使用智慧型手機,你可以優先考慮使用這種方式來導入「兩步驟驗證」,那「硬體」類的「驗證碼產生器」就沒有用處了嗎?其實也未必喔。

在硬體方面,以myPass認證碟為例,這一個在商城中特價要賣近900元(PChome商店街),我相信光是要付費這點,就會擊退大部份家用個人使用者了,我用智慧型手機就好了,不是嗎?

沒錯,因此我在先前才會建議,若你只是個人在使用,且手上有智慧型手機的使用者,應優先使用免費的「手機APP」,也就是「Google Authenticator」,但若是你沒有智慧型手機的話,就可以來考慮使用專用的myPass。
4057-03
雖然在家用的市場,會用到的機會比較少,但在「公司」,我認為這就太有用處了。

我以前待的一家公司,當時由於架設在公司內部的Mail Server(郵件伺服器),經常出問題,所以我一度想要說服老闆使用「Google Apps for Business」這個Google的服務,當時Google Apps for Business服務還是「免費」的,而且每個帳戶最多可以開啟高達50個免費的Mail Account,以Google服務的品質來說,絕對比我們在公司自架主機要穩定很多,不用擔心電腦會三不五時就掛掉,所以使用Google Apps for Business,絕對是「Z>B」…

但可惜的是,最後老闆還是不同意,他的想法很簡單,電子郵件屬於公司的機密資料,因此只能放在自己家,不能放在別人家的機房。

當時會覺得老闆的想法特別,因為就算郵件伺服器放在公司內部的機房,也不見得安全,但從每個人的身份看事情,確實會有不同的結果,從我的角度來看,如果公司使用了Google Apps,那不僅郵件服務的品質可以提升,且我的工作就會輕鬆多了;但若是從經營管理者的角度來看,東西放在自己看的到的地方,總是比較安全的,也許是被老闆看出來我的私心了…orz

所以從這個角度來看myPass認證碟這產品,如果你們公司的mail是使用Gmail、Hotmail的話,無論是「一個人使用一個帳戶」,或是「多人使用同一個帳戶」,以我老闆以前的個性,絕不可能把重要的金鑰設定在私人的手機上的,因為「公私要分離」!

所以一定是每個人配一個myPass認證碟,一方面可以「管制使用人的數量」,另一方面也可以「解決被盜帳號的問題」。

題外話:話說Google Apps for Business,從最早可建立50個免費帳戶,縮小到只能建立10個免費帳戶,直到這一、兩年,所有的免費的優惠已經都沒有,正式進入收費的時代,所以當時候已經申請的人,算都是賺到了,像是我舊網域,還都是可以建立高達50個信箱的帳號,不過我也只建了一個。
4057-04

不需要獨愛某種驗證碼產生方式

而在我拿到myPass認證碟之後,由於我也算是個人家用的使用者,因此我也實在不可能將這個帶進帶出的,雖然它可以勾在鑰匙圈上,而且也是防水的,其實也算是很方便,但我會將它的角度定義在「備份」。

因為這個myPass認證碟最多可以設定「兩組」金鑰,所以我就將最重要的Google及Microsoft驗證,同時設定在「智慧型手機」和「myPass」上,平常需要登入帳號時,就用智慧型手機,當有一天手機重置或不見,若不想要重設金鑰的話,就可以拿這個myPass先來使用。

除了有這樣的好處之外,在智慧型手機需要輸入驗證碼時,也可以利用電腦來產生,才不會要在智慧型手機上切來切去的,因為這個驗證碼可是有30秒的時間限制,常常等到切到要輸入驗證碼的頁面之後,驗證碼就失效了…

而有關myPass的功能及使用,大家可以直接看全景官網,或是我之前寫的文章:

怕被盜帳號嗎?使用「兩步驟驗證」來保護你的Google帳戶吧!

什麼是「兩步驟驗證」登入?

簡單的說,就算你密碼被別人知道了,他也無法登入你的帳戶,這神奇了嗎?這種登入方式,第一道使用的是你原有的密碼,而在第二道則使用一種浮動的「驗證碼」,而這組浮動的驗證碼是透過計算出來的,所以除非金鑰在產生時,就洩露了,要不然是不可能會被破解的。

不曉得你有沒有碰過,在使用電腦時,電腦忽然跳出訊息,說你的帳戶目前在其它的地方登入…

我之前Google帳戶就碰過這種狀況,GoogleMicrosoftFacebook…等等這些帳戶,都是我最重要的帳戶,而且都使用同一組密碼,雖然我設定的密碼非常的複雜,但我沒有想到居然也會洩露出去,因此我做了以下的動作。

我把Google、Microsoft、Facebook、DropboxEvernote…等帳戶,全部修改了密碼,並且各自使用獨一無二的密碼,避免一個密碼被猜到,其它的服務也全都淪陷。

由此可以知道,我必需寫個密碼簿來記下這堆密碼,要不然每個密碼都不一樣,我怎麼可能寄下來,所以我把密碼全都寫在「Google文件」裡的某一個文件中,因此我只要記住Google帳戶的密碼就好,之後若要查詢其它服務的密碼,只要登入到Google文件裡,就可以查到。

但這個方式老實說,還真的蠻困擾我的,直到這個「兩步驟驗證」登入方式的出現,才解決了我的問題,我現在可以同樣使用「同一組密碼」,也不用再擔心被盜帳號,也不用再記一大堆密碼了。

不過這和我們目前「網路銀行」使用的二組「固定」的密碼登入不同,因為就算用100組密碼來登入,只要密碼被側錄的話,管你用幾組,只要是固定的,就一定完蛋,怎麼銀行的腦袋這麼死?

登入Google帳戶,並設定兩步驟驗證

Step 1. 首先,來到「Gmail」的登入畫面,並且登入你的Google帳戶,如下圖:
4029-01
Step 2. 點擊右上角的帳號圖片,並點擊所開啟的個人帳面資料中的「帳戶」,如下圖:
4029-02
Step 3. 接著先切換到「安全性」頁籤之後,再點擊「兩步驟驗證」的「設定」,如下圖:
4029-03
Step 4. 看到Google的兩步驟驗證登入介紹,請點擊〔開始設定〕,如下圖:
4029-04
Step 5. 在設定之前,兩步驟證登入之前,若你這部電腦還沒設定為「信任」時,這時會先做手機驗證碼的驗證,請點選「文字訊息(簡訊)」,並點擊〔傳送驗證碼〕,如下圖:
4029-05
Step 6. 接著輸入手機所收到的驗證碼,並點擊〔驗證〕,如下圖:
4029-06
Step 7. 接著如果這部電腦是家中的電腦,你可以勾選「信任這部電腦」,日後有做任何重大設定的變更時,就不用每次都要做簡訊的驗證,但若你是別人的電腦上,或是外面公用的電腦上,來做兩步驟登入設定時,這個「信任這部電腦」就千萬不要去打勾,最後再點擊〔下一步〕,如下圖:
4029-07
Step 8. 來到「啟用兩步驟驗證功能」時,請點擊〔確認〕,這時就會完成啟用的動作,接著就是要來設定兩步驟驗證的細部資料。
4029-08
出現「動新連結您的應用程式與裝置」時,請點擊〔稍後再進行〕,如下圖:
4029-09
而出現「稍後重新連結您的應用程式」時,請點擊〔確定〕。
4029-10
Step 9. 來到「驗證碼」的設定主畫面時,請點擊〔改用應用程式〕,來將目前用簡訊驗證的方式,取代為用Google應用程式來驗證,如下圖:
4029-11
Step 10. 接著視你的智慧型手機種類來選擇,並且按下〔繼續〕,若你的手機沒有列出來,也不用擔心,你可以改用在後面會介紹的「桌上型應用程式WinAuth」,或是「USB實體驗證器myPass」來驗證,而無論是想使用WinAuth或是myPass,都還是可以選擇「Android」來進入下一步設定畫面。
4029-12
Step 11. 接著會來到「設定Google Authenticator」的頁面,這裡提供了最重要的「金鑰」數值,我們的驗證器應用程式,就是利用這組金鑰,來算出通行的驗證碼的。
4029-13
而現在,我們先使用智慧型手機類型的APP軟體,來當作我們的驗證碼應用程式,在下一段教學中,我也會利用桌上型應用程式(WinAuth),以及全景軟體的「myPass」來做示範。

Step 12. 接著我們先打開我們的Android手機,先下載「Google Authenticator」並且開啟它,接著再點擊「掃描條碼」,如下圖:
4029-14
Step 13. 接著Google Authenticator會要你選擇一個可以掃描條碼的APP程式,我這邊是使用「QR Droid」這個APP程式,如果你手機裡沒有的相關手機掃描條碼軟體的話,可能要先安裝一下,使用這個條碼掃描軟體來掃描網頁上的QR Code之後,再至Google網頁中的「驗證碼」欄位,輸入Google Authenticator所產生的驗證碼,並且點擊〔驗證並儲存〕,如下圖:
4029-15
而經過這樣的設定之後,當我們登入Google帳戶時,就會再多了一個步驟叫「兩步驟驗證」,並且要我們輸入「行動應用程式」所產生的驗證碼,如下圖:
4029-16
這時當然是開啟你手機裡的Google Authenticator程式囉!

怕被盜帳號嗎?使用「兩步驟驗證」來保護你的Microsoft帳戶吧!

什麼是「兩步驟驗證」登入?

簡單的說,就算你密碼被別人知道了,他也無法登入你的帳戶,這神奇了嗎?這種登入方式,第一道使用的是你原有的密碼,而在第二道則使用一種浮動的「驗證碼」,而這組浮動的驗證碼是透過計算出來的,所以除非金鑰在產生時,就洩露了,要不然是不可能會被破解的。

不曉得你有沒有碰過,在使用電腦時,電腦忽然跳出訊息,說你的帳戶目前在其它的地方登入…

我之前Google帳戶就碰過這種狀況,GoogleMicrosoftFacebook…等等這些帳戶,都是我最重要的帳戶,而且都使用同一組密碼,雖然我設定的密碼非常的複雜,但我沒有想到居然也會洩露出去,因此我做了以下的動作。

我把Google、Microsoft、Facebook、DropboxEvernote…等帳戶,全部修改了密碼,並且各自使用獨一無二的密碼,避免一個密碼被猜到,其它的服務也全都淪陷。

由此可以知道,我必需寫個密碼簿來記下這堆密碼,要不然每個密碼都不一樣,我怎麼可能寄下來,所以我把密碼全都寫在「Google文件」裡的某一個文件中,因此我只要記住Google帳戶的密碼就好,之後若要查詢其它服務的密碼,只要登入到Google文件裡,就可以查到。

但這個方式老實說,還真的蠻困擾我的,直到這個「兩步驟驗證」登入方式的出現,才解決了我的問題,我現在可以同樣使用「同一組密碼」,也不用再擔心被盜帳號,也不用再記一大堆密碼了。

不過這和我們目前「網路銀行」使用的二組「固定」的密碼登入不同,因為就算用100組密碼來登入,只要密碼被側錄的話,管你用幾組,只要是固定的,就一定完蛋,怎麼銀行的腦袋這麼死?

登入Windows帳戶,設定兩步驟驗證

Step 1. 首先,登入「Windows Live網站」,或是「Hotmail、Outlook登入頁面」,如下圖:
4019-01
Step 2. 登入之後,接著點擊右上角的帳號圖示,並且點選「帳戶設定」,如下圖:
4019-02
Step 3. 接著點擊「概觀」裡的「安全性資訊」,接著再點擊「設定兩步驟驗證」,如下圖:
4019-03
Step 4. 看完微軟的什麼是兩步驟驗證說明之後,點擊〔下一步〕,如下圖:
4019-04
Step 5. 接著就是要配對驗證器,也就是網站這邊會提供一串唯一的「金鑰」,然後我們將這串金鑰需入到可以產生「驗證碼」的「驗證碼應用程式」裡,讓這個「驗證碼應用程式」利用這獨一無二的金鑰,配合時間這個因數,每30秒產生一組「驗證碼」。

而所謂的「驗證碼應用程式」,可以是:

  1. 手機裡的第三方應用程式APP:例如 Windows市集裡的「驗證器 (Authenticator)」、Android Play商店裡的「Google驗證器 (Google Authenticator)」。
  2. Windows桌上型應用程式:例如 WinAuth
  3. 硬體設備:全景軟體的USB介面「myPass」,或是Battle.net專用的「Battle.net實體驗證器」。

至於要選擇哪一種軟體或設備,就看我們的選擇,或是廠商的提供。

回到Windows Live兩步驟驗證的網頁中,我們可以看到網頁的內容中,有一個「QR Code」條碼,這個條碼就是前面我們所提到的「金鑰」序號,也就是能讓我們方便的將這組金鑰,快速的輸入到智慧型手機中,如下圖:
4019-05
而現在,我們先使用智慧型手機類型的APP軟體,來當作我們的驗證碼應用程式,在下一段教學中,我也會利用桌上型應用程式(WinAuth),以及全景軟體的「myPass」來做示範。

Step 6. 接著我們先打開我們的Android手機,先下載「Google Authenticator」並且開啟它,接著再點擊「掃描條碼」,如下圖:
4019-06
Step 7. 接著Google Authenticator會要你選擇一個可以掃描條碼的APP程式,我這邊是使用「QR Droid」這個APP程式,如果你手機裡沒有的相關手機掃描條碼軟體的話,可能要先安裝一下,使用這個條碼掃描軟體來掃描網頁上的QR Code之後,再至網頁中輸入Google Authenticator所產生的驗證碼(範例為:591039,但我在網頁中輸入580289,是因為我來不及抓圖,其實這兩邊是要一樣的,Sorry…),如下圖:
4019-07
而經過這樣的設定之後,我們在登入Windows帳戶之後,就會再多了一個步驟叫「協助我們保護您的帳戶」,並且要我們輸入「驗證器應用程式」所產生的驗證碼,如下圖:
4019-08
這時當然是開啟你手機裡的Google Authenticator程式囉!