以 YubiKey 實體安全金鑰設定 Google 兩步驟驗證教學

最後更新於 2020 年 07 月 07 日

/g

一直以來我不斷宣導「兩步驟驗證」對於帳戶安全的重要性,也就是原有的密碼防護方式已經不夠安全,必須加上另一層保護才讓能避免密碼遭竊後被其他人登入,而現今大多數網路服務都會內建此功能。比較常見的兩步驟驗證多以手機簡訊傳送驗證碼透過應用程式 Google Authenticator 產生驗證碼,為了避免驗證方式失效,部分服務還會同時提供多種驗證方式或備用碼。倘若你需要最高程度的安全防護,使用 U2F/FIDO 實體安全金鑰會是安全性最強的防護機制。

即使 Google 從 2014 年開始就支援 FIDO 聯盟的 U2F 身分認證技術,但因為在台灣不容易取得 YubiKey 這類實體金鑰(Google 的 Titan 安全金鑰只在部分國家販售),且當前價格仍然偏高,支援的服務有限,很多人可能不會考慮在 Google 或其他網路服務上使用實體安全金鑰進行驗證。

九月中我寫了一篇「PayPal 兩步驟驗證設定教學」後,決定來研究一下 YubiKey,恰巧 iOS 13 開放手機 NFC 功能,就上 Yubico 官方網站買了兩個 YubiKey 5 NFC,也許之後可以在行動裝置上進行實體金鑰驗證,會說也許的原因是 Google Smart Lock 當前僅支援以藍牙方式實體驗證,NFC 功能尚未開啟(Yubico 沒有考慮開發藍牙功能的安全金鑰),可能得等下一次應用程式更新。

如果你沒打算加入 Google「進階保護計劃」,安全金鑰的驗證方式可以和其他現有兩步驟驗證共存,若開啟進階保護計劃就會將安全性提升到最高,只允許透過實體安全金鑰認證,大多數需要存取 Gmail 或雲端硬碟資料的第三方應用程式都無法使用,很顯然這個保護計劃僅適用於高風險人士(例如記者、社會運動人士、企業領袖和政治競選團隊等等),一般使用者其實沒有必要使用所謂的進階保護計劃。

接下來我就實際操作一次將 YubiKey 設定為 Google 兩步驟驗證的方式,如果你是使用其他品牌的安全金鑰也是類似的設定步驟,當前支援 U2F 實體金鑰認證的網路服務已經越來越多,除了 Google 以外還有 AWS、Dropbox、Facebook、GitHub、Instagram 等服務。

使用教學

STEP 1

首先,你必須取得 YubiKey、Google Titan Security Key 或其他實體安全金鑰,通常會建議設定兩個,以免因為遺失安全金鑰而無法登入帳號。YubiKey 可以透過國外網站直接購買,會以平信方式寄到台灣,等待時間約為 10-20 天左右,較便宜的郵寄方案不會提供追蹤碼,可能會有寄丟的風險存在(如果不放心可以找找網路賣家或代購)。

/g

STEP 2

接著前往 Google 帳戶的安全性設定功能,從登入 Google 下方找到「兩步驟驗證」設定選項。如果你現在已有其他的驗證方式就會顯示為打勾狀態。

STEP 3

從其他類型的第二驗證步驟下方找到「安全金鑰」,通常是搭配 USB 連接埠使用。

STEP 4

點選「新增安全金鑰」後就會出現將實體金鑰設定為驗證 Google 帳戶的畫面。

依照指示將安全金鑰 YubiKey 插入電腦上的 USB 連接埠,連接後如果安全金鑰上有按鈕或金色圓盤的話也記得用手輕觸,我一開始不知道就在這裡卡了一段時間,因為剛好電腦的 USB 連接埠在後面就沒注意到這個步驟。插入後裝置上的圓盤會閃爍,再以手指輕觸就會完成驗證。

瀏覽器也會一併跳出提示,Firefox 會顯示「使用您的一把安全性金鑰來註冊帳號」訊息在網址列左邊。

註冊後 Google 會要求使用者設定「安全金鑰名稱」,用以辨識不同的金鑰。

STEP 5

依序將安全金鑰設定到 Google 帳戶就大功告成了!Google 還會顯示新增的時間、上次使用日期,之後可以隨時回到 Google 安全性設定頁面進行調整或修改。

STEP 6

未來當你在陌生的電腦上登入 Google 帳戶時,瀏覽器就會跳出要求使用安全性金鑰驗證身分的提示訊息,這時候就要將金鑰插入 USB 連接埠,然後按一下按鈕或金色圓盤,如此一來就能夠通過驗證。

完成驗證後可以設定讓這部電腦以後不需要驗證,如果是自己的電腦就沒問題。

無論你有沒有打算使用 YubiKey 或其他實體安全金鑰,我都建議在 Google 或重要網路服務上將兩步驟驗證功能打開,可以參考以下幾篇我之前寫的教學文:

值得一試的三個理由:

  1. 使用 U2F/FIDO 實體安全金鑰驗證身分,提升帳戶安全性
  2. Google 支援多種兩步驟驗證,可以同時設定
  3. 加入 Google 進階保護計劃能獲得最高的安全性,但會有一些限制

 

相關的文章

申請加入 Google 進階保護計劃,為高風險人士打造最強安全防護機制

上次寫過一篇「以 YubiKey 實體安全金鑰設定 Google 兩步驟驗證教學」也是我的實體金鑰 U2F 初體驗,使用至今並沒有發生什麼問題,唯獨在 iPhone 行動裝置上暫時還無法進行驗證,雖然我是購買具備近距離無線通訊(NFC)功能的 YubiKey ,但 Google 驗證應用程式暫時只支援藍牙通訊,得等待未來更新,或許才有機會在行動裝置上使用實體金鑰驗證方式。

PayPal 兩步驟驗證設定教學,以手機簡訊或應用程式降低被盜用風險

當今最安全可靠的帳戶驗證方式是透過 U2F/FIDO 實體安全金鑰,也就是在登入時以實體裝置驗證身分(USB、藍牙或 NFC),不過必須額外購買實體金鑰,若不是要求非常高的安全性,通常會使用常見的「兩步驟驗證」方式替代,兩步驟驗證我已經在不少文章教學裡提過,只要透過手機應用程式(例如 Google Authenticator)就能在登入時帳號密碼以外多加上一道驗證,或是連結到手機號碼,透過簡訊方式接收驗證碼,現在如果服務有支援兩步驟驗證我一律都會開啟。

Authy 可備份的 Google Authenticator 替代方案,支援多裝置同步驗證碼

前幾天我在更換新的 iPhone 11 後寫下「換新手機如何備份和轉移 Google Authenticator 兩步驟驗證資料?」教學,事實上我忽略一件很重要的事,那就是 Google Authenticator 對於日後更換裝置或手機遺失來說非常不方便,一來它無法透過電腦進行資料備份,二來它沒有提供密碼鎖防護,像是現在經常使用的 Face ID、Touch ID 都不支援(Google 好像沒有很多心力在維護這個工具),而且它僅適用於行動裝置,要在電腦上進行兩步驟驗證必須拿起手機。

Real search box in New Tab Page 在 Chrome 新分頁使用真正的搜尋框

想了一下自己的使用習慣,好像已經不太倚賴瀏覽器開新分頁後的功能,像是搜尋或是快速開啟常用網站,自從安裝「Empty New Tab Page 讓 Google 瀏覽器新分頁空白」外掛後現在新分頁又回到空白一片,如果要透過瀏覽器搜尋也很習慣手動開啟 Google 首頁,而不是直接從網址列進行搜尋,儘管網址列現在除了輸入網址,也能快速將關鍵字透過你習慣的瀏覽器搜尋。

回應