上次寫過一篇「以 YubiKey 實體安全金鑰設定 Google 兩步驟驗證教學」也是我的實體金鑰 U2F 初體驗,使用至今並沒有發生什麼問題,唯獨在 iPhone 行動裝置上暫時還無法進行驗證,雖然我是購買具備近距離無線通訊(NFC)功能的 YubiKey ,但 Google 驗證應用程式暫時只支援藍牙通訊,得等待未來更新,或許才有機會在行動裝置上使用實體金鑰驗證方式。

在我研究 U2F/FIDO 驗證的過程中發現「Google 進階保護計劃」,大家都知道 Google 收集不少使用者資料,除了常用到的 Gmail、Google Maps 和 YouTube 外還有雲端硬碟檔案或 Google Chrome 等紀錄,因此 Google 帳戶也成為許多人覬覦下手的目標,特別是一些身分特殊的使用者。

這是 Google 對於高風險人士(例如記者、社會運動人士、企業領袖和政治競選團隊)所打造的最高安全防護機制,能夠將你的 Google 帳號安全性提高到最高層級,簡單來說,進階保護計劃會要求必須使用實體安全金鑰進行驗證,同時停用其他兩步驟驗證方式,不過也會犧牲一些第三方應用程式存取 Google 帳戶資料的權限,使用者只能透過 Chrome 或 Firefox 使用需登入的 Google 服務。

但這對大多數使用者來說太過極端,也會對日常工作使用帶來不便,這就好比將防毒軟體防護層級設定為最高,或是讓瀏覽器隱私權限調整為最嚴格,會有很多功能無法正常使用,但相對來說你的帳號也會更為安全。

剛好手邊有 YubiKey 安全金鑰,就趁此機會展示一下「Google 進階保護計劃」如何設定和相關畫面,加入這個計劃完全免費,而且可以隨時取消退出,就能將原有的兩步驟驗證重新設定回來,當然,準備好兩把實體安全金鑰是加入此計劃的必要條件。

Google 進階保護計劃
https://landing.google.com/intl/zh-TW/advancedprotection/

使用教學

STEP 1

從 Google 進階保護計劃網站點選「開始使用」按鈕,要註冊此功能只有簡單三步驟,分別是:取得安全金鑰、註冊安全金鑰和註冊此功能,最重頭戲部分是取得實體安全金鑰,很可惜 Google 旗下具備藍牙功能的安全金鑰並不在台灣商店上架,而 Yubico 安全金鑰雖可郵寄到台灣,但當前 iPhone 無法使用,除非購買具備 Lightning 規格的版本才行。

STEP 2

點選「註冊安全金鑰」後就會出現類似於 Google 帳戶裡兩步驟驗證的實體金鑰設定畫面,必須註冊兩個才行,以免因為其中一個金鑰遺失而無法存取帳戶,依照 Google 說明建議第一把金鑰使用藍牙金鑰、第二把使用 USB 或藍牙金鑰,但你如果兩把都用 USB 也沒問題。

STEP 3

註冊方式和「以 YubiKey 實體安全金鑰設定 Google 兩步驟驗證教學」一文提到的過程差不多,依照步驟,先不要插入安全金鑰。

在註冊畫面時插入金鑰或連接藍牙金鑰,如果上面有按鈕或金色圓盤要記得輕觸一下,如此一來就能完成驗證和註冊。

註冊後也記得為安全金鑰設定一個可以識別的名稱。

STEP 4

前面有提到 Google 進階保護計劃要求使用者必須註冊兩個安全金鑰,以免在金鑰遺失後無法存取帳戶(如果金鑰真的都不幸弄丟,可以向 Google 申請人工審核驗證,不過需要幾天的作業時間)。當兩把金鑰都註冊完成,就可以點選下一步進入最後畫面。

STEP 5

申請加入 Google 進階保護功能後會將你的所有裝置登出,如果要重新登入,必須透過密碼和安全金鑰。除了 Apple 郵件、行事曆和聯絡資訊應用程式,以及 Mozilla 的 Thunderbird 仍可以讓加入進階保護計劃的帳戶使用,許多非 Google 的應用程式將無法存取你的資料。

STEP 6

註冊前 Google 還會再次提醒,按下「註冊」就會將你從所有裝置登出。

Google 進階保護計劃還會恭喜你已經成功加入本計畫,而帳戶將獲得 Google 最高安全機制保護。有興趣的朋友可以試試看會不會影響到你日常的使用,若你的身分特殊、資料相當敏感,真的可以考慮加入這個計劃以獲得更高程度的保護。

STEP 7

未來在登入 Google 帳戶時瀏覽器就會跳出驗證安全性金鑰的提示畫面,必須透過實體的安全金鑰進行身分驗證,才能成功登入帳號,如果加入 Google 進階保護計劃就不會再顯示其他驗證方式(例如透過手機簡訊、Google Authenticator 產生驗證碼等等),可以有絕對的高安全性防護,相對來說在某些狀況下也會無法使用帳號。

若你覺得加入 Google 進階保護計劃後對於工作或日常使用造成不便,想要返回原本的兩步驟驗證方式,只要打開 https://myaccount.google.com/ 也就是 Google 帳戶設定頁面,從安全性頁面就可以取消並離開進階保護功能。

值得一試的三個理由:

  1. 加入 Google 進階保護計劃,讓帳戶安全性提升到最高
  2. 只能使用實體安全金鑰進行驗證,不提供其他兩步驟驗證功能
  3. 非 Google 第三方應用程式將無法順利存取使用者的帳戶