跳轉到

多因子驗證

本章節的操作會以 OTP/TOTP、備份碼(Backup Code)、密碼金鑰(Passkey)、安全金鑰(Security Key)此四種現行的多因子驗證方式,分別進行介紹和基本的使用操作說明。

翻譯差異

以下提及的文字可能會有翻譯上的差異,請找到合適的標的或透過引導的連結前往。

OTP / TOTP

什麼是 OTP / TOTP

  • OTP(One-Time Password,一次性密碼)是一種只在一個登入流程中有效的密碼。最常見的應用是作為二階段驗證的一部分,提升系統的安全性。OTP 的特點是每次使用後即失效,防止密碼被重複使用或攔截。
  • TOTP(Time-Based One-Time Password,基於時間的一次性密碼)是 OTP 的一種實現方式,根據當前時間產生一次性密碼。TOTP 的工作原理是使用一個共享的秘密金鑰和當前時間來產生動態的驗證碼。這通常需要手機上的應用程序(如 Google Authenticator 或 Authy)來生成與登入服務同步的密碼,每隔 30 秒更新一次。

換句話說,OTP/TOTP 都可以離線使用,因為是透過秘密金鑰+「使用序次或時間」來產生六碼的驗證碼。

Google Authenticator

Google Authenticator 是一款免費的手機應用程式,生成一次性密碼(OTP)來加強帳號安全。

操作步驟

  1. 到應用商店下載並安裝 Google Authenticator。
  2. 登入要啟用多因子認證的服務,找到安全設定中的多因子認證選項。
  3. 選擇「使用 Google Authenticator」或相關選項。
  4. 使用 Google Authenticator 掃描服務提供的 QRCode。
  5. 或透過輸入應用程式產生的驗證碼完成設定。

Authy

Authy 提供了多平台支援,不僅僅限於手機,還可以在電腦端使用,對於需要更高靈活度的團體非常有用。

操作步驟

  1. 到應用商店下載並安裝 Authy。
  2. 註冊帳號並完成基本設置(如手機號碼驗證)。
  3. 登入要啟用多因子認證的服務,找到安全設置中的多因子認證選項。
  4. 選擇「使用 Authy」或「使用 TOTP 應用」.
  5. 使用 Authy 掃描 QRCode 或手動輸入金鑰。
  6. 或使用輸入應用程式生成的驗證碼完成配置。

備份碼 Backup Code

備份碼(Backup code)是一組用於在無法使用常規雙因素驗證(2FA)方法時,仍然能夠登入帳號的替代驗證碼。這些備份碼通常是由服務提供者產生一系列一次性使用的數字或字母組合。使用備份碼的主要目的是確保使用者在無法取得手機、硬體金鑰或其他 2FA 裝置時,仍能夠安全地登入帳號。請妥善管理和使用備份碼,可以有效防範未經授權的登入行為。

以下是備份碼的操作流程:

  1. 產生備份碼:登入你的帳號,然後前往安全設定或帳號設定部分。找到雙因素驗證的選項,並依照指示產生備份碼。
  2. 儲存備份碼:當備份碼被產生後,你會看到一組通常是 8~10 個左右的一次性使用碼。建議你將這些密碼組妥善儲存在一個安全的地方,例如紙本記錄、離線文件或加密的數位筆記本。
  3. 使用備份碼:當你無法使用雙因素驗證方式(如手機、OTP/TOTP 驗證碼)登入帳號時,系統會提供選項輸入備份碼。選擇此選項並依提示輸入備份碼即可登入帳號。
  4. 管理備份碼:每次使用備份碼登入後,該密碼就會失效。定期檢查並棄用、更新你的備份碼,以確保你總是擁有足夠且有效的備份碼。

安全建議

  • 務必將備份碼儲存在一個既安全又方便取得的地方,不要與他人分享。
  • 在建立新的備份碼時,舊的備份碼會失效,因此需要重新儲存新產生的備份碼。
  • 如果你的備份碼被洩漏或者丟失,應立即產生新的備份碼並更新你的安全設定。

密碼金鑰 Passkey

Passkey 是一種新的身分驗證技術,旨在取代傳統的密碼,提供更安全和便捷的登入方式。它利用公共金鑰加密技術來保護使用者的帳號,不僅增強了安全性,還大幅降低了被駭風險。

Passkey的核心概念是使用設備(例如手機)來產生和儲存一對加密密鑰:公鑰和私鑰。當使用者需要登入某個服務或網站時,該服務會要求使用者的手機發送公鑰進行驗證。如果公鑰匹配,設備會使用私鑰簽署一個驗證訊息,完成登入過程。

Passkey 服務說明

以下是 Passkey 的主要優點:

  1. 安全性提升:由於私鑰永遠不會離開使用者的設備,即使伺服器資料遭到攻擊,駭客也無法獲得使用者的私鑰。
  2. 防篡改與釣魚攻擊:Passkey 只能使用在特定的應用程序或網站,因此即使攻擊者試圖偽裝成合法的網站,還是無法成功登入。
  3. 使用方便:無需記住複雜的密碼,只需使用生物特徵(如指紋或臉部識別)或是PIN碼進行驗證。

公民團體可以利用 Passkey 技術來保護成員的線上帳號,避免因密碼被盜或弱密碼造成的安全問題。

安全金鑰 Security Key

安全金鑰(Security Key)是一種實體裝置,用於增加線上帳號的登入安全性。它通常是一個小型 USB 或 NFC 裝置,可以插入電腦的 USB 埠或以無線方式與智慧型手機相連。Security Key 使用基於硬體的驗證方式,比軟體密碼或簡訊驗證的安全性更高。

主要功能和優點:

  1. 雙重驗證(2FA:搭配傳統密碼使用,提供雙重驗證,提高帳戶的安全性。
  2. 抗盜用:由於需要實體裝置才能登入,即使駭客獲取了您的帳戶密碼,若沒有這個安全金鑰,他們仍無法登入您的帳號。
  3. 簡便使用:操作簡單,使用者只需插入安全金鑰並按一下按鈕即可完成驗證。
  4. 普遍兼容:許多支持 FIDO U2F (通用第二因素)FIDO2 標準的平台和服務都可使用,例如 Google、Facebook 和 Microsoft 等。

基本操作流程

初始設定

  1. 購買與取得:選擇並購買符合 FIDO U2F 或 FIDO2 標準的安全金鑰。如:YubiKeyNitrokey
  2. 註冊金鑰: 登入您想保護的帳號(例如 Google 帳號),找到安全設定選項,選擇新增安全金鑰。
  3. 插入金鑰: 根據指示將安全金鑰插入電腦的 USB 埠,或利用 NFC 與手機連接。
  4. 完成驗證: 按下金鑰上的按鈕,完成初始設定。

日常使用

  1. 登入過程: 每次登入您的帳號時,輸入您的密碼後,系統會提示您插入或觸碰您的安全金鑰。
  2. 進行驗證: 確保金鑰已插入或已觸碰,等待驗證完成。

注意事項

  • 備份金鑰: 考慮準備一個備份安全金鑰,以防主要金鑰丟失或損壞。
  • 註冊多個帳號: 確保每個需要保護的帳號都註冊了安全金鑰。
  • 安全保存: 妥善保管您的安全金鑰,不要與不信任的第三方共用。