概要
現在有些網站的登入採用雙重或多重驗證(Two-factor authentication, 2FA or MFA, for multifactor authentication),也就是除了要輸入通行密碼之外,還要額外一或更多種的驗證方式。常見的2FA有幾種,像SMS簡訊驗證;或是由軟體產生的一次性通行碼OTP (One Time Password)。
由於SMS簡訊驗證的方式已被證實不是很安全,而且軟體式的OTP使用上更為靈活,所以後者逐漸被廣泛採用。本文主要介紹Authy這個2FA軟體以及相關使用議題。
基礎認識
先簡單介紹一下Authy的運作方式,這其中的主角是Time-based One-Time passwords (TOTP)的soft-token軟體權杖(通行令牌),這種由基於時間的一次性密碼演算法所計算出來的通行碼,其有效性只限於不足1分鐘的時間。
使用者先在自己的裝置上安裝2FA軟體,以方便日後在登入支援這類驗證的網站時使用。
登入這類網站,在帳號安全設定中啟用軟體式2FA驗證時(多半是顯示Google Authenticator,實際上,用相似軟體也可以),會提供一個QR Code供掃瞄,同時多半也會附上一串明文字串,也就是參與運算用的金鑰,如果無法掃瞄就自行把金鑰輸入(或複製/貼上)到APP中,QR Code即包含了金鑰字串。這金鑰不可外流給第三方知道,只網站與使用者二方擁有。
這裡要注意的是上述網站提供的2FA驗證方式可能有多種不同形式,而這裡只專指“軟體式”2FA驗證。
設定好2FA驗證後,使用者以2FA方式登入時,先輸入帳號與密碼,然後在提示輸入2FA通行碼時,把2FA軟體上顯示的6位數字通行碼輸入。網站接收到此通行碼時,拿來與自己算出來的6位數字做比較是否一致。
以上有個前提,就是資料在網路上傳輸都是加密過的,才不會被攔截而洩漏出去。現在基本上都採用https安全傳輸協定,這樣應該不致於有這方面的問題。
還有件事要注意,重新設置2FA時,所用的金鑰也會重新產生,之前的就失效不算數了。
Twilio Authy
Authy除了提供2FA的功能,還有其他幾個特色與優點:
Authy涉及加密與網路傳輸的工作會採用用戶才知道的密碼,所以最好別忘記密碼。
其他相似APP
在Google Play可找到不少類似性質的APP,但不見得有像Authy那麼豐富的功能,它們的開發商也不見得會提供電腦桌面版本。以下是其中幾款:
- Google Authenticator
- Microsoft Authenticator
- LastPass Authenticator
- Duo Mobile
- Aegis Authenticator
使用上的注意與建議
如果決定啟用網站提供的2FA驗證功能,有幾點建議與注意:
- 善用密碼管理軟體:除了密碼,還可以用來記錄金鑰或是其他項目。
- 裝置的時間要準確:若時間不正確,計算出來的通行碼就不正確。
- 記錄金鑰:建議把網站給的金鑰記錄下來。某些網站的2FA設計比較缺乏彈性,若使用者遺失手機而無法產生通行碼時,極可能會無法登入;或是必須進行身分驗證審核。如果之前有記錄下金鑰,在新手機上重新設置好APP就可避免此麻煩。如果啟用Authy的多裝置功能也可免於此麻煩,但仍建議把金鑰記下。
- 更換裝置時:某些網站的2FA設置說明中會提到用戶換手機之前,先把2FA停用,或先改成SMS簡訊驗證,待換好新手機再重新設置啟用2FA。如果不是使用像Authy有多裝置功能的APP,也沒有記錄下金鑰,最好遵照這樣的作法,不然可能會碰到前述的麻煩。
結語
在眾多2FA軟體中,Authy算是其中功能較出眾的,如果有使用Google Authenticator這類驗證,不論有無多個裝置以及在多平台上使用需求的,強烈建議不妨考慮一下Authy。
啟用2FA驗證並非就此高枕無憂,今年1月中曾發生某加密幣交易所的2FA系統被突破遭駭的事件。該交易所並未說明箇中細節,推測若非交易所系統本身有安全缺陷,那麼其他可能性像是用戶洩漏了金鑰且密碼薄弱;或是網站安全性不佳導致金鑰與帳密被盜,再以暴力破解出真正的密碼。網站安全性只能靠網站方加強,使用者本身則要避免多個帳號使用同一密碼,密碼也別設的太簡單,以減少被暴力破解的機會。有些老舊式的用戶驗證系統可能直接儲存使用者的密碼,帳密資料一旦被盜,這種沒有另一層2FA保護的,使用者資料就形同門戶大開。
說到老舊系統,想到一起去年11月底發生的資安事件,幾家期貨與證券商的客戶帳號“被自動下單”購買港股。之後某些券商的看盤軟體或網站就開始出現像這樣的告示:「應金管會要求,在系統未改善身分驗證的安全機制之前,使用者必須在三個月內至少更改一次密碼……。」再觀察一下台灣不少傳統金融網站的登入缺乏2FA功能,這對於安全性要求較嚴格的網站而言,未免落後了些。
沒有留言:
張貼留言