跳轉到

多因子驗證

在建立密碼強度和使用密碼管理器後,我們要進一步的來處理「2FA」雙因子驗證了! 2FA(Two-Factor Authentication,雙因素驗證)和 MFA(Multi-Factor Authentication,多因素驗證)是在身分驗證過程中的重要安全機制,用於加強對帳戶及數據資料的保護。這些機制讓他人即使獲得您的密碼,仍需要透過多種驗證方法,來確保當前使用者的身份是真實和合法的,降低網路上身分冒用的可能。因此,不可不了解這個重要的第二道把關機制!

2FAMFA 的基本概念

雙因素驗證(2FA

雙因素驗證是一種需要兩種不同類型的驗證方式來確認使用者身份的方法,他們通常是在輸入密碼後,由網站或軟體自動跳出來邀請再次驗證身分。這些驗證方式通常是以下三個種類:

  1. 知識因素(你知道的資訊):使用者知道的資訊,如密碼或 PIN 碼。
  2. 擁有因素(你擁有的物品):使用者擁有的物品,如手機 OTP、智能卡或硬體 Token(YubiKey)。
  3. 生物辨識因素(你是誰):使用者本身的生物特徵,如指紋、臉部識別或聲音識別。
  4. 地理位置因素(你在哪裡):檢查使用者的登入IP位址,以檢測是否來自預期的地理位置,透過 GPS 或其他位置服務標籤確認使用者所在地。

多因素驗證(MFA

多因素驗證則是擴展了雙因素驗證的概念,可能包含兩種或多種以上的不同類型的驗證方式 (如:手機 OTPIP 位置確認)。目的是提供更強的安全保護,涵蓋不同的使用情境和威脅模型。

2FA/MFA 的重要性

  1. 提升安全性

    • 單一密碼的保護已非常脆弱。現今駭客手段多樣,像是釣魚攻擊、字典攻擊、暴力破解等,都能輕易獲取或猜測密碼。使用 2FAMFA 後,攻擊者即使知道了密碼,仍需要額外的驗證因素,極大的提升攻擊的難度。

  2. 阻擋未授權存取

    • 即使密碼被洩漏或竊取,由於攻擊者無法提供第二或第三種驗證因素,如一次性驗證碼或生物特徵,仍難以取得系統或帳戶的存取權。

  3. 保護機敏資料

    • 許多公民團體處理著高度機敏的資料,例如成員名單、募款資訊等,這些資料一旦洩漏,可能造成巨大的危害。2FAMFA 可為這些資料提供額外的防護。

  4. 符合合規要求

    • 許多國家和地區的法律或行業規範現已將 2FAMFA 列為必須遵循的安全措施。例如,歐盟的 GDPR 和美國的 HIPAA 等法規。

如何實施 2FA / MFA

實施 2FA/MFA 有三個方式,一是啟用標準 2FA、二是硬體 Token/PIV 卡、三是生物辨識技術。

  1. 啟用標準 2FA

    • 大多數線上服務如 Google、Facebook、Twitter 等,皆支持 2FA。因此,進入你常用的線上服務開啟雙因子驗證,,是一個具體又有效的身分驗證保護行為。在您設置完成後,線上服務會在你的密碼輸入後,直接進入 2FA 雙因子驗證環節,進而要求你輸入從手機應用程式(如 Google Authenticator)生成的一次性密碼。

  2. 硬體 Token / PIV 卡

    • 對於更高安全需求,使用硬體 Token(如 YubiKey)或 PIV 卡來實現 MFA 能提供物理層面的保護。

      什麼是 PIV

      Personal Identity Verification (PIV) 是一種專為提供安全個人身分驗證而設計的系統,通常用於政府和高安全性要求的環境中。PIV 系統結合了各種技術和標準,以確保使用者的身份有效驗證,主要目的是:身份確認、安全存取、資料保護。PIV 卡主要包含以下元素:照片、指紋、數位憑證、區域訪問控制。

      對於公民團體,雖然可能不直接使用 PIV 技術,但可以從其概念中獲得啟示,如採用多因素驗證和加強身分驗證的措施來保護群體成員和機敏資料。

  3. 生物辨識技術

    • 當前許多設備如智能手機和筆記型電腦,已內建指紋掃描、臉部識別等生物辨識技術,可被用於實現更為方便且安全的 MFA

2FA / MFA 是增強資訊安全不可忽視的重要工具,它們通過增加多層次的辨識來保護帳戶和數據免受未授權存取,是現今數位生活和工作的基礎防護措施。公民團體尤其需要針對自身所處的風險環境,評估並實施適當的 2FA / MFA,以確保資訊的安全性和完整性。

本章節的操作會以 OTP/TOTP、備份碼(Backup Code)、密碼金鑰(Passkey)、安全金鑰(Security Key)此四種現行的多因子驗證方式,分別進行介紹和基本的使用操作說明。

翻譯差異

以下提及的文字可能會有翻譯上的差異,請找到合適的標的或透過引導的連結前往。

OTP / TOTP

什麼是 OTP / TOTP

  • OTP(One-Time Password,一次性密碼)是一種只在一個登入流程中有效的密碼。最常見的應用是作為二階段驗證的一部分,提升系統的安全性。OTP 的特點是每次使用後即失效,防止密碼被重複使用或攔截。
  • TOTP(Time-Based One-Time Password,基於時間的一次性密碼)是 OTP 的一種實現方式,根據當前時間產生一次性密碼。TOTP 的工作原理是使用一個共享的秘密金鑰和當前時間來產生動態的驗證碼。這通常需要手機上的應用程序(如 Google Authenticator 或 Authy)來生成與登入服務同步的密碼,每隔 30 秒更新一次。

換句話說,OTP/TOTP 都可以離線使用,因為是透過秘密金鑰+「使用序次或時間」來產生六碼的驗證碼。

Google Authenticator

Google Authenticator 是一款免費的手機應用程式,生成一次性密碼(OTP)來加強帳號安全。

操作步驟

  1. 到應用商店下載並安裝 Google Authenticator。
  2. 登入要啟用多因子認證的服務,找到安全設定中的多因子認證選項。
  3. 選擇「使用 Google Authenticator」或相關選項。
  4. 使用 Google Authenticator 掃描服務提供的 QRCode。
  5. 或透過輸入應用程式產生的驗證碼完成設定。

Authy

Authy 提供了多平台支援,不僅僅限於手機,還可以在電腦端使用,對於需要更高靈活度的團體非常有用。

操作步驟

  1. 到應用商店下載並安裝 Authy。
  2. 註冊帳號並完成基本設置(如手機號碼驗證)。
  3. 登入要啟用多因子認證的服務,找到安全設置中的多因子認證選項。
  4. 選擇「使用 Authy」或「使用 TOTP 應用」.
  5. 使用 Authy 掃描 QRCode 或手動輸入金鑰。
  6. 或使用輸入應用程式生成的驗證碼完成配置。

備份碼 Backup Code

備份碼(Backup code)是一組用於在無法使用常規雙因素驗證(2FA)方法時,仍然能夠登入帳號的替代驗證碼。這些備份碼通常是由服務提供者產生一系列一次性使用的數字或字母組合。使用備份碼的主要目的是確保使用者在無法取得手機、硬體金鑰或其他 2FA 裝置時,仍能夠安全地登入帳號。請妥善管理和使用備份碼,可以有效防範未經授權的登入行為。

以下是備份碼的操作流程:

  1. 產生備份碼:登入你的帳號,然後前往安全設定或帳號設定部分。找到雙因素驗證的選項,並依照指示產生備份碼。
  2. 儲存備份碼:當備份碼被產生後,你會看到一組通常是 8~10 個左右的一次性使用碼。建議你將這些密碼組妥善儲存在一個安全的地方,例如紙本記錄、離線文件或加密的數位筆記本。
  3. 使用備份碼:當你無法使用雙因素驗證方式(如手機、OTP/TOTP 驗證碼)登入帳號時,系統會提供選項輸入備份碼。選擇此選項並依提示輸入備份碼即可登入帳號。
  4. 管理備份碼:每次使用備份碼登入後,該密碼就會失效。定期檢查並棄用、更新你的備份碼,以確保你總是擁有足夠且有效的備份碼。

安全建議

  • 務必將備份碼儲存在一個既安全又方便取得的地方,不要與他人分享。
  • 在建立新的備份碼時,舊的備份碼會失效,因此需要重新儲存新產生的備份碼。
  • 如果你的備份碼被洩漏或者丟失,應立即產生新的備份碼並更新你的安全設定。

密碼金鑰 Passkey

Passkey 是一種新的身分驗證技術,旨在取代傳統的密碼,提供更安全和便捷的登入方式。它利用公共金鑰加密技術來保護使用者的帳號,不僅增強了安全性,還大幅降低了被駭風險。

Passkey的核心概念是使用設備(例如手機)來產生和儲存一對加密密鑰:公鑰和私鑰。當使用者需要登入某個服務或網站時,該服務會要求使用者的手機發送公鑰進行驗證。如果公鑰匹配,設備會使用私鑰簽署一個驗證訊息,完成登入過程。

Passkey 服務說明

以下是 Passkey 的主要優點:

  1. 安全性提升:由於私鑰永遠不會離開使用者的設備,即使伺服器資料遭到攻擊,駭客也無法獲得使用者的私鑰。
  2. 防篡改與釣魚攻擊:Passkey 只能使用在特定的應用程序或網站,因此即使攻擊者試圖偽裝成合法的網站,還是無法成功登入。
  3. 使用方便:無需記住複雜的密碼,只需使用生物特徵(如指紋或臉部識別)或是PIN碼進行驗證。

公民團體可以利用 Passkey 技術來保護成員的線上帳號,避免因密碼被盜或弱密碼造成的安全問題。

安全金鑰 Security Key

安全金鑰(Security Key)是一種實體裝置,用於增加線上帳號的登入安全性。它通常是一個小型 USB 或 NFC 裝置,可以插入電腦的 USB 埠或以無線方式與智慧型手機相連。Security Key 使用基於硬體的驗證方式,比軟體密碼或簡訊驗證的安全性更高。

主要功能和優點:

  1. 雙重驗證(2FA:搭配傳統密碼使用,提供雙重驗證,提高帳戶的安全性。
  2. 抗盜用:由於需要實體裝置才能登入,即使駭客獲取了您的帳戶密碼,若沒有這個安全金鑰,他們仍無法登入您的帳號。
  3. 簡便使用:操作簡單,使用者只需插入安全金鑰並按一下按鈕即可完成驗證。
  4. 普遍兼容:許多支持 FIDO U2F (通用第二因素)FIDO2 標準的平台和服務都可使用,例如 Google、Facebook 和 Microsoft 等。

基本操作流程

初始設定

  1. 購買與取得:選擇並購買符合 FIDO U2F 或 FIDO2 標準的安全金鑰。如:YubiKeyNitrokey
  2. 註冊金鑰: 登入您想保護的帳號(例如 Google 帳號),找到安全設定選項,選擇新增安全金鑰。
  3. 插入金鑰: 根據指示將安全金鑰插入電腦的 USB 埠,或利用 NFC 與手機連接。
  4. 完成驗證: 按下金鑰上的按鈕,完成初始設定。

日常使用

  1. 登入過程: 每次登入您的帳號時,輸入您的密碼後,系統會提示您插入或觸碰您的安全金鑰。
  2. 進行驗證: 確保金鑰已插入或已觸碰,等待驗證完成。

注意事項

  • 備份金鑰: 考慮準備一個備份安全金鑰,以防主要金鑰丟失或損壞。
  • 註冊多個帳號: 確保每個需要保護的帳號都註冊了安全金鑰。
  • 安全保存: 妥善保管您的安全金鑰,不要與不信任的第三方共用。