/g

一直以來我不斷宣導「兩步驟驗證」對於帳戶安全的重要性,也就是原有的密碼防護方式已經不夠安全,必須加上另一層保護才讓能避免密碼遭竊後被其他人登入,而現今大多數網路服務都會內建此功能。比較常見的兩步驟驗證多以手機簡訊傳送驗證碼透過應用程式 Google Authenticator 產生驗證碼,為了避免驗證方式失效,部分服務還會同時提供多種驗證方式或備用碼。倘若你需要最高程度的安全防護,使用 U2F/FIDO 實體安全金鑰會是安全性最強的防護機制。

即使 Google 從 2014 年開始就支援 FIDO 聯盟的 U2F 身分認證技術,但因為在台灣不容易取得 YubiKey 這類實體金鑰(Google 的 Titan 安全金鑰只在部分國家販售),且當前價格仍然偏高,支援的服務有限,很多人可能不會考慮在 Google 或其他網路服務上使用實體安全金鑰進行驗證。

九月中我寫了一篇「PayPal 兩步驟驗證設定教學」後,決定來研究一下 YubiKey,恰巧 iOS 13 開放手機 NFC 功能,就上 Yubico 官方網站買了兩個 YubiKey 5 NFC,也許之後可以在行動裝置上進行實體金鑰驗證,會說也許的原因是 Google Smart Lock 當前僅支援以藍牙方式實體驗證,NFC 功能尚未開啟(Yubico 沒有考慮開發藍牙功能的安全金鑰),可能得等下一次應用程式更新。

如果你沒打算加入 Google「進階保護計劃」,安全金鑰的驗證方式可以和其他現有兩步驟驗證共存,若開啟進階保護計劃就會將安全性提升到最高,只允許透過實體安全金鑰認證,大多數需要存取 Gmail 或雲端硬碟資料的第三方應用程式都無法使用,很顯然這個保護計劃僅適用於高風險人士(例如記者、社會運動人士、企業領袖和政治競選團隊等等),一般使用者其實沒有必要使用所謂的進階保護計劃。

接下來我就實際操作一次將 YubiKey 設定為 Google 兩步驟驗證的方式,如果你是使用其他品牌的安全金鑰也是類似的設定步驟,當前支援 U2F 實體金鑰認證的網路服務已經越來越多,除了 Google 以外還有 AWS、Dropbox、Facebook、GitHub、Instagram 等服務。

使用教學

STEP 1

首先,你必須取得 YubiKey、Google Titan Security Key 或其他實體安全金鑰,通常會建議設定兩個,以免因為遺失安全金鑰而無法登入帳號。YubiKey 可以透過國外網站直接購買,會以平信方式寄到台灣,等待時間約為 10-20 天左右,較便宜的郵寄方案不會提供追蹤碼,可能會有寄丟的風險存在(如果不放心可以找找網路賣家或代購)。

/g

STEP 2

接著前往 Google 帳戶的安全性設定功能,從登入 Google 下方找到「兩步驟驗證」設定選項。如果你現在已有其他的驗證方式就會顯示為打勾狀態。

STEP 3

從其他類型的第二驗證步驟下方找到「安全金鑰」,通常是搭配 USB 連接埠使用。

STEP 4

點選「新增安全金鑰」後就會出現將實體金鑰設定為驗證 Google 帳戶的畫面。

依照指示將安全金鑰 YubiKey 插入電腦上的 USB 連接埠,連接後如果安全金鑰上有按鈕或金色圓盤的話也記得用手輕觸,我一開始不知道就在這裡卡了一段時間,因為剛好電腦的 USB 連接埠在後面就沒注意到這個步驟。插入後裝置上的圓盤會閃爍,再以手指輕觸就會完成驗證。

瀏覽器也會一併跳出提示,Firefox 會顯示「使用您的一把安全性金鑰來註冊帳號」訊息在網址列左邊。

註冊後 Google 會要求使用者設定「安全金鑰名稱」,用以辨識不同的金鑰。

STEP 5

依序將安全金鑰設定到 Google 帳戶就大功告成了!Google 還會顯示新增的時間、上次使用日期,之後可以隨時回到 Google 安全性設定頁面進行調整或修改。

STEP 6

未來當你在陌生的電腦上登入 Google 帳戶時,瀏覽器就會跳出要求使用安全性金鑰驗證身分的提示訊息,這時候就要將金鑰插入 USB 連接埠,然後按一下按鈕或金色圓盤,如此一來就能夠通過驗證。

完成驗證後可以設定讓這部電腦以後不需要驗證,如果是自己的電腦就沒問題。

無論你有沒有打算使用 YubiKey 或其他實體安全金鑰,我都建議在 Google 或重要網路服務上將兩步驟驗證功能打開,可以參考以下幾篇我之前寫的教學文:

值得一試的三個理由:

  1. 使用 U2F/FIDO 實體安全金鑰驗證身分,提升帳戶安全性
  2. Google 支援多種兩步驟驗證,可以同時設定
  3. 加入 Google 進階保護計劃能獲得最高的安全性,但會有一些限制