在這個資安越來越重要的年代,保護個人帳戶安全比什麼都重要,有越來越多網站都發生過資料庫被駭,因為各大科技龍頭 Apple、Google、Facebook、微軟也都推出了雙重驗證機制(Two-Factor Authentication,簡稱 2FA),像是Apple因為itunes綁定信用卡的關係,如果帳戶資料被盜,就間接造成信用卡盜刷危機,因此也早就推出雙重認證,來保護客戶的資產安全,Facebook帳戶被盜也是時有所聞,使用雙重認證就可以大大降低帳戶被盜的機率,雙重認證的做法有很多種,常見的有簡訊通知做二次驗證,或是使用特定裝置上的動態密碼,來做雙重認證,常見的有銀行給予的OTP(一次性密碼)裝置,而我們要介紹的是使用App做雙重認證基礎教學。
簡訊(SMS)認證其實不安全
一般我們常接觸到的手機簡訊(SMS)雙重認證,其實不安全,大家應該都有經驗,在使用網路銀行做轉帳時,有些銀行會傳送簡訊要求再次輸入簡訊密碼,以確認是否為本人操作的轉帳行為,其實使用手機簡訊驗證是現在最方便也最簡單的方式,驗證成本極低也不需要額外裝置,因為出門可能會忘了帶錢包、鑰匙但不太可能忘記帶手機,所以對使用者也是非常便利,但在2017年的資安大會中,美國國家標準技術研究所(NIST),就提出建議企業不要再透過電信系統,包含簡訊和電話語音的方式,執行雙重認證,Datablink亞太區行銷副總裁Lawrence Ang在議程中指出,企業透過手機簡訊提供進階身分驗證使用的一次性密碼(OTP)固然方便,但從2010年首次發現駭客針對行動電話而來的中間人攻擊之後,這種手法便層出不窮,2016年甚至在俄國和巴西等地,已有駭客直接銷售木馬攻擊套件,代表性的惡意攻擊程式是Android.Bankosy。
App認證安全性更高
雖然目前使用手機App的作為雙重認證的比例還不高,銀行停留在提供一個可以產生OTP(一次性密碼)的裝置,透過使用裝置達到雙重認證,但這樣子裝置就必須隨身攜帶,才能隨時使用,由於智慧型手機的普及,現代人手機不離身,未來將會是雙重認證的主流,因為App雙重認證的安全性更加的高,而且不需額外再攜帶一個裝置優點,讓使用App做雙重認證成為一個趨勢,講到App驗證一般會想到的就是Google Authenticator,很多使用App做雙重認證的網站都會建議你使用,Google Authenticator,但在這裡我推薦使用Authy,這個App的功能更加強大且親民。
Authy勝出的關鍵,人性化
隨著近年來越來越多的線上服務,使用App做雙重認證,開始會慢慢發覺Google Authenticator的不足,有接觸加密貨幣的人,對Google Authenticator應該都不陌生,大部分的交易所都使用Google Authenticator做雙重認證,但它有一個很致命的缺陷,就是無法做備份,針對誤刪帳戶,以及當手機遺失、故障、或換新手機時這些狀況,都會造成很大的不便,不僅無法登入,還必需一個一個服務去申請停用,由於缺少雙重認證無法正常登入帳戶,就必需準備一堆文件證明自己是帳戶所有人,真是曠日費時,加密貨幣市場分秒必爭,等待長久的審核恢復2FA,會錯失很多獲利的機會,一個帳戶就這麼費時了,日後提高資安,保護客戶資產安全,是必然的趨勢,那麼雙重認證普及之後很難想像,要多花多久時間處理,上述狀況,因為你擁有的帳戶不只一個。(老實說Google Authenticator在設定完成時,會提供一組密碼,必須將這組密碼記牢,以防手機遺失、故障、或換新手機時這些突發狀況發生時,恢復權限使用,但我個人很容易忘記,偏偏這時候又沒有提供忘記密碼的功能,真的不太人性化)
Authy可以取代Google Authenticator
雖然市面上使用雙重驗證2FA時,都會跑出Google Authenticator,但這並不代表你只能使用Google Authenticator這個App,目前所有支援Google Authenticator的服務,都可以使用Authy來取代,使用Authy最大的好處就是,Authy支援多平台多裝置,可以同時使用(手機、電腦、平板),自動雲端備分,可以設定兩個裝置以上,這樣就不會有手機遺失,導致無法登入帳戶的窘境出現了,而且在不小心刪除某個2FA帳號時,都可以在48小時內復原,雖然Authy沒有中文介面,但跟著下面的教學文,你也可以輕鬆學會。
【Authy】官網
Authy安裝教學
進入官網後,可以在右上角的DOWNLOAD,下載所需要的版本,目前支援的有
- Android
- IOS
- Mac
- Windows
- Chrome
手機APP部分可以直接去App store or Google play 搜尋 Authy直接下載,然後開始設定,首先填寫國家代碼,以及手機號碼,接著給予註冊用的mail。
選擇驗證方式,語音或簡訊SMS,這裡選擇右邊的SMS簡訊認證會比較方便,接著就會收到註冊驗證碼,在打開App時輸入就算是驗證成功,正式啟用了,首次登入時需設定登入密碼,但有一個最重要的就是設定備份密碼,這可以協助手機遺失時將所有的資料都備份回來。
- 同步功能:除了備份功能外,Authy的同步功能也很強大,只需要一個裝置綁定雙重認證2FA,即可同步到其他裝置上,少了這個功能,每個2FA帳戶可能會需要綁定好幾次,取決於你有多少裝置。
但如果備份密碼忘記時該怎麼辦?這不就跟Google Authenticator遇到一樣的狀況嗎?這點不需要擔心,因為Authy可以支援多裝置,建議在啟用後馬上新增另一個裝置,比如說筆電或另外一支備用手機,這樣子手機遺失,也忘了備份密碼一樣可以繼續使用,所以安裝完Authy並啟用後,最重要的步驟就是開啟多重裝置登入功能,可以在APP的右上角進入設定畫面,接著選擇右下角的裝置,進入後將Allow Multi device開啟,如下圖我個人就安裝了三個裝置,手機、筆電、Chrome。
Authy在使用上,跟一般的雙重認證2FA沒有不同,在新增帳戶時可以選擇直接掃描QR code或是手動輸入去新增帳戶,以下為示意圖。
新增成功後,就可以在App裡看見帳戶了,而OTP(一次性密碼)為30秒自動更新一次。
另外有幾個貼心的小地方,就是可以自訂帳戶名稱以及圖示,系統會自動載入網站的圖片,如果抓不到則是使用,鑰匙的圖示表示,也可以使用搜尋的功能,去尋找對的圖示,一樣需要前往設定,選擇中間 Account,點選想要變更的帳戶,就可以做更改了,更改完後就可以得到美美的圖示了。
真心建議幣圈的朋友,趕快加入Authy的行列,以免整天擔心害怕手機遺失或故障的慘事發生,相信有參與加密貨幣領域的朋友,手上有個5家以上交易所帳戶是很平常的事情,想想要是遺失手機,要補辦5家交易所的雙重認證是多麼痛苦的事情,因為不能進入帳戶,所以你必須準備一堆文件來證明這個帳戶是你所擁有的,趕快來遠離這個惡夢吧!
針對已經使用Google Authenticator在各大服務或交易所做雙重認證2FA的用戶,只需要去各大交易所解除雙重認證2FA,並且再次使用雙重認證2FA,在再次使用時請使用Authy做綁定即可,各大交易所或服務,基本上的流程都大同小異。
我目前使用Authy做2FA的交易所如下
ACE交易所
Bitopro交易所
MAX交易所
Bitfinex交易所
Bitmax交易所
Pionex交易所
FTX交易所
延伸閱讀:台灣有哪些交易所?交易所該怎麼選擇? 台灣加密貨幣交易所費用解析,一張圖看懂所有費用
歡迎加入我的社團,追蹤最新資訊,一起討論。
→賈許的數位知識分享-區塊經濟-金融科技-數位行銷