雙因素驗證 (或「2FA」) 是結合兩種不同身分驗證方式,讓使用者向服務提供者證明其身分的方法。驗證方式可能會是:使用者知道的東西 (如密碼或 PIN 碼)、使用者擁有的東西 (如硬體令牌或行動電話),或使用者與生俱來或不可分離的東西 (如指紋)。
您可能已經在生活中的其他場合使用過 2FA。例如,使用 ATM 提款時,您必須插入提款卡(使用者擁有的東西)並輸入 PIN 碼(使用者知道的東西)。不過,現在許多網路服務的預設是以單因素,也就是密碼,來認證使用者的身份。
2FA 如何線上運作?Anchor link
包括 Facebook、Google 和 Twitter 在內的一些網路服務提供 2FA 作為密碼驗證身分以外的替代方案。啟用此功能後,系統會提示您輸入密碼和另一種輔助的驗證方法,它通常會是簡訊發送的一次性代碼,或是儲存秘密金鑰的專用行動應用程式 (例如 Google Authenticator、Duo Mobile、Facebook 應用程式或 Clef) 所產生的一次性代碼。這兩種方式皆是以您所擁有的手機作為第二個驗證因素。有些網站(包括 Google)亦提供一次性的備用代碼,可下載、列印,或存放在安全的地方作為額外的備份。選擇使用 2FA 後,您必須輸入密碼和手機上的一次性代碼,才能存取您的帳戶。
為什麼要啟用 2FA?Anchor link
由於 2FA 要求您使用多種方法驗證身分,故能為帳戶提供更強的安全性。這也就是說,即使有人取得您的主密碼,除非他們也有您的手機或其他輔助的驗證方法,否則他們無法存取您的帳戶。
2FA 有缺點嗎?Anchor link
儘管 2FA 提供了更安全的身分驗證方式,但是如果您弄丟手機、更換 SIM 卡,或不開漫遊前往其他國家旅行,很有可能無法登入帳戶。
許多 2FA 服務提供一次性的「備份」或「回復」代碼列表。每個代碼只能用來登入您的帳戶一次,之後就會失效。如果您擔心無法存取您的手機或其他身分驗證裝置,請印出這些代碼,並隨身攜帶,小心保存,它們的驗證效果就會像「您擁有的東西」一樣好。請記得妥善保管這些代碼,並隨時確保沒有人可以看到或拿到。如果您使用了或遺失了備用驗證碼,可以在下次登入帳戶時再產生新的列表。
2FA 的另一個問題是簡訊驗證並不那麼安全。如果電話網絡被訓練精良的攻擊者(例如情報單位或犯罪行動組織)取得,他們很有可能會攔截並使用簡訊發送的代碼。也有不那麼厲害的攻擊者(例如個人)會設法將通話或簡訊轉接到自己的手機,或是侵入電信公司的服務,而在無需對方手機的情形下,就能取得傳送到對方手機的簡訊。
如果您擔心這種層級的攻擊,請關閉簡訊驗證,只使用 Google Authenticator 或 Authy 等身分驗證應用程式。不過,這種方式並不適合每一種 2FA 的服務。
此外,使用 2FA 也意味著您可能會交出您並不願提供的資料給服務提供者。假設您用假名註冊了 Twitter,即使您小心不提供 Twitter 驗證資訊,也只透過 Tor 或 VPN 存取 Twitter,但只要您啟用了簡訊 2FA,Twitter 就會記錄您的手機號碼。也就是說,如果法院強制要求,Twitter 可以藉由您的電話號碼將您的帳戶與您連結。這對您來說可能不是問題,特別是如果您已經在現有服務上使用了您的合法名稱,但如果保持匿名對您來說很重要的話,請審慎考慮是否使用簡訊 2FA。
最後,研究顯示,啟用 2FA 之後,有些使用者會使用強度較低的密碼,因為他們以為第二個認證因素就能保障他們的安全。但即使啟用 2FA 之後,也請務必使用強式密碼。更多技巧請參閱我們的建立強式密碼指引。
我要如何啟用 2FA?Anchor link
這在每一個平台不同,所使用的術語也不同。https://twofactorauth.org/ 提供了支援 2FA 的大量網站列表。我們的 12 Days of 2FA 貼文提供了幾個較常見的服務,說明如何在 Amazon、Bank of America、Dropbox、Facebook、Gmail 和 Google、LinkedIn、Outlook.com 和 Microsoft、PayPal、Slack、Twitter 和 Yahoo Mail 啟用 2FA。
如果您想要進一步防範密碼竊取,請仔細閱讀這一系列文章,並為您所有重要的網路帳戶開啟 2FA。