雙重驗證/兩步驟驗證 (2FA) 是什麼?對於網路安全的重要性為何?

我們在網路上購物、管理銀行帳戶、從事社交、工作與娛樂活動。但隨著我們日漸倚賴網路,相關的風險也與日俱增。駭客四處潛伏,伺機竊取我們的身分、掏空銀行帳戶,或是綁架電腦。因此,我們必須格外審慎,妥善保障自己的數位安全。

您或許聽過雙重驗證或兩步驟驗證 (2FA),並好奇它究竟是什麼;其實 2FA 在網路安全的領域,已成為一項日漸重要的工具,若能搭配個人電腦/行動裝置安全軟體以及密碼管理程式,即可構成捍衛數位安全的「鐵三角」。以下是您必須瞭解的重點:

首先,2FA 為何如此重要?

資料外洩已成為新的常態。2017 上半年遭竊資料就超過 2016 全年總和。這些攻擊曾經重創全球最大的零售供應鏈 (Target、Home Depot、TJX)、飯店 (Hyatt、Hilton)、網際網路公司 (Yahoo、eBay、LinkedIn) 及其他眾多企業,從而大量竊取這些公司的客戶用來存取帳戶的帳密資訊。一旦取得憑證,罪犯便能劫持這些帳號 (以及其他共用密碼的服務) 來掏空財產、竊取更機密的個資,並以您的名義購買商品與服務。

目前已有數十億筆登入憑證資料在暗網 (dark web) 流通。去年,單是 Yahoo 一家業者,就承認有 30 億筆使用者記錄遭駭。2017 年 12 月,一處地下網站經發現設有 14 億筆遭竊帳密的資料庫供駭客使用,這是迄今已知規模最大的案件。

這些事件的教訓是什麼?採用良好的密碼安全機制,方為上策但是日益猖獗的入侵接踵而至,不但持續威脅登入憑證的機密性,也使得網路帳戶的安全管理更加棘手。而這就是雙重驗證派上用場的時刻。

這項機制如何運作?

雙重驗證可提供多一層保障,使罪犯較難進行未授權的存取動作。在 2FA 的管制下,單憑使用者帳密無法登入,您還需要第二項「驗證因素」:僅限您個人知道的資訊 (例如母親的本姓)、您個人持有的事物 (如透過簡訊發送的認證碼、應用程式或軟體保護鎖 [dongle])、或是駭客無法取得的個人特徵 (如指紋)。本文著重探討第二類,亦即不斷變化且使用後立即失效的認證碼,其可透過文字簡訊或裝置/電腦上的安全應用程式發送,駭客幾乎不可能取得。

首先介紹最普遍且簡單易用的 2FA 應用程式。

如何設定?

隨著 Gmail 和 Google 日曆等熱門的 Google 服務大受歡迎,Google Authenticator 也成為最普遍的 2FA 應用程式。這款免費的應用程式適用於 Android 和 iOS,除了 Google 帳號以外,也能保護 Dropbox、Twitter 與 Facebook 等非 Google 帳號。簡單的設定步驟如下:

  •  從 Google Play 或 App Store 下載 Google Authenticator
  •  登入 Google 帳號並前往「登入和安全性」>「兩步驟驗證」>「驗證應用程式」以設定 2FA。
  • 選擇裝置類型 (iPhone 或 Android)
  • 開啟 Google Authenticator 應用程式並按下 + 鈕
  • 在螢幕下方選擇「掃描條碼」或「手動輸入」,將應用程式連結至 Google 帳號。前者會要求您掃描電腦螢幕上的 QR Code (即使用 Google Authenticator 應用程式的 QR 碼掃描器)。或選擇第二項,此時系統會寄送 16 位數的認證碼至您的電子郵件地址。
  • 將「依時間」選項切換至「開啟」。
  • 如此一來,每次登入 Google 帳號時,系統就會要求輸入六位數密碼。開啟 Google Authenticator 應用程式,即可看到新的一次性認證碼,將其輸入網頁的 2FA 欄位,便可加強安全性。
  •   若要新增帳號至 Google Authenticator,僅需啟用帳號的 2FA 功能,並重複 QR 條碼啟用流程。

考量重點

您是否透過任何第三方應用程式存取 Gmail 與 Google Calendar?若是如此,您需要提供應用程式專屬的密碼,因為應用程式可能無法搭配 Google Authentication 使用,且需要密碼才能登入;建立應用程式專屬密碼後,就能在非 Google 應用程式存取 Google 帳戶資料 (如 Outlook)如果裝置遺失或遭竊,您必需撤銷應用程式專屬驗證碼,以免未經授權的存取。

遺失手機或筆電時怎麼辦?

若手機連同認證應用程式一併遺失,不迅速採取行動的話,帳戶資訊便可能洩漏。若不幸發生以上情況,且裝置未啟用 PIN 鎖,請使用另一台裝置上的趨勢科技行動安全防護或類似應用程式,來鎖定或抹除遺失的裝置。雖然抹除重置是一項艱難的決定,但如果落入不肖人士手中,對方可能入侵您的帳戶、變更密碼並加以劫持。

下一步,您必須確保遺失裝置上的 2FA 應用程式不再產生一次性驗證碼。大多數雙重驗證應用程式皆有類似功能,以便因應這類狀況。建議在新裝置上使用新的 2FA 應用程式。如此一來,即使竊賊在裝置抹除/鎖定之前取得密碼,也無法存取您的帳戶。

在新裝置上重新建立雙重驗證機制,並不是太困難的任務。以 Google Authenticator 為例,使用者註冊時會提供一組備份密碼,以備於裝置遺失時使用。注意:大多數 2FA 應用程式僅能同時用於一支手機,這是為了降低您淪為罪犯目標的風險。然而 Authy 可跨多裝置使用,靈活度更佳。

有多少款雙重驗證應用程式?

目前大多數熱門網站皆提供 2FA 的啟用選項以確保帳號安全,市面上則有各種應用程式,可供您從單一位置管理 2FA 登入憑證。本文並未列出所有產品,但以下幾款較受歡迎:

Google Authenticator:一如前述,這是最普遍和簡單易用的選項。

Microsoft Authenticator:此為免費的 2FA 應用程式,掃描 QR 碼即可連結線上帳號。

Authy:理想的 Google 替代方案。可跨多款裝置使用,即使其中一台遺失或遭竊 (或若您經常升級裝置),也較無後顧之憂。

趨勢科技支援項目

如前所述,雙重驗證可提供多一層安全保障,但單憑本身並不足夠。事實上,若要達到最佳防護效果,您需要 1) 安全性軟體、2) 密碼管理程式、3) 驗證程式。唯有三者兼備,才能實現最佳的隱私和身分保障,以利安全存取線上帳號。

趨勢科技為您提供第 1) 與 2) 項支援。我們獲獎的軟體持續在獨立實驗室的評測中名列前茅,而「密碼管理通」 搭配 趨勢科技PC-cillin雲端版可有效協助使用者儲存並管理網路登入憑證,不論在任何地點、使用任何裝置或瀏覽器。非常適合搭配主要的 2FA 應用程式使用。

原文出處:Two-Factor Authentication: What is it and why do I need it to stay safe online?