零基資安訓練營(七):使用二步認證
文:薯伯伯
其中一個最重要,最有效,最必須,但又經常被人忽略的保安方法,是二步認證。例如蕭若元 YouTube 的 2.6 萬條影片被刪,到底是否政治打壓,現在不敢妄下判斷,我還是較為傾向於相信是黑客入侵。(YouTube 「黃標事件」看來應該是政治打壓,但全頻刪片卻保留戶口,又似乎不是 Google 慣用的手法。)
如果能預先做好二步認證,黑客要入侵戶口,難度就高出很多。因為這很重要,所以大家聽我講,不論政見如何,不論是否覺得自己會成為入侵目標,但今天起碼要完成以下其中一個 2FA 保護,之後陸續加強不同服務的 2FA。
所謂「二步認證」,英文叫 two-factor authentication,簡稱 2FA,是指登入戶口時,除了原有的登入認證,還要有其他認證的「因素」,例如額外再加一個密碼、手機短訊驗證,動態密碼(例如 Google Authenticator)、Yubikey 硬件鑰匙等等。
萬一有人偷看到你輸入密碼,例如在電腦裡安裝了 keylogger,記錄鍵盤動作,又或是從遠遠拉長望遠鏡去偷看你打字(哎,你以為你是誰?有人肯定這樣問。)豈料你是一個漂亮又謹慎的人,一早就開通了 2FA,那麼對方即使非法取得你的密碼,但還要輸入另一個動態密碼才能登入,你的戶口安全無損。在這篇文章裡,還是先以手機短訊的方式,談一下二步認證的具體操作。
以下設置 2FA 的方法,通常就是用一個六位密碼(不是太好,但總好過沒有),authenticator
WhatsApp 的二步認證:
當你在新手機上安裝 WhatsApp 後,一般的登入方法,是插入 SIM 卡,收到一個短訊,裡面有個六位認證碼,輸入就能登錄 WhatsApp。這個方法過於簡單,很大風險,所以要二步認證。
啟用二步認證後,除了要輸入短訊內的六位認證碼,還要再輸入一個自訂密碼,設置方法如下:
打開 WhatsApp - (右下方)設定 - 帳號 - 雙步驟驗證 - 自己選擇一個六位數字的 PIN,不要用生日日期。考慮輸入一個後備的電郵地址,萬一忘記了 PIN,可以重設戶口。(但如果你百分之百肯定不會忘記 PIN,就不要額外設定復原的電郵地址,因為越多重設的渠道,也就代表越多保安的漏洞。)
Signal 通訊軟件的二步認證:
點擊自己的頭像,選擇「隱私權」- 設置 Signal PIN 碼,啟用 PIN 碼提醒及註冊鎖。
Google 戶口的二步認證:
1. 打開 https://myaccount.google.com/
2. 選擇保安或安全(Security),如果用桌面版,在左邊。如果用手機版,則在 Google Account 字樣下方的菜單,要用手指向左掃一掃才能看見。
3. 開啟二步認證。
4. 輸入戶口密碼。
5. 選擇下載 Google Authenticator 動態密碼生成器,跟著畫面指示掃 QR 碼,輸入認證,便能確定完成。
Facebook 的二步認證:
1. 打開 https://www.facebook.com/settings 。
2. 在左邊選擇保安及登入。
3. 選擇「二步認證」,輸入戶口密碼。
4. 之後選擇下載 Google Authenticator 動態密碼生成器,跟著畫面指示掃 QR 碼,輸入認證,便能確定完成。
Apple ID 的二步認證:
在 iPhone 打開設定 - 點選「你的名字」 - 密碼與保安,再按畫面上的指示去開啟雙重認證。
Patreon 用戶的二步認證:
近來不少創作人都開通了 Patreon 平台(包括我),謹記要加強相關保安,先進入 https://www.patreon.com/settings/profile ,在 Security 下選擇 Add via SMS 或 Add via TOTP authenticator app(即例如 Google Authenticator 之類)。
多了一層 2FA,會否影響日常工作的效率或速度呢?我的主要戶口,是每次關閉瀏覽器都會自動登出,所以我每天都要輸入數次密碼及 2FA 認證,早已是上網生活的一部份。你知道每天都做足 2FA 防護措施,經過一年半載後,會有甚麼效果嗎?就是現在當我使用一些服務,居然是不支援 2FA,我反而會覺得周身不自在,甚至會拒絕使用該服務(如果有其他選項)。
另外,有些服務,至今仍然只支援安全級別較低的手機 SMS 認證,萬一手機 SIM 卡被騎劫了,那這層保障就如同虛設。所以,如果有其他認證因素,就應避免使用 SMS 做驗證。如果真的沒有選擇,必須用 SMS 做驗證,那麼就必須加強 SMS 的保安級別。至於如何去做,因為涉及過多細節,我們找天有時間再好好談談。
照片:Hacker Noon via Unsplash
*———*
請訂閱 Patreon 頻道,支持不受干預的獨立分析及評論。
http://patreon.com/pazu
「apple id帳號復原時間」的推薦目錄:
- 關於apple id帳號復原時間 在 Pazu 薯伯伯 Facebook 的最佳解答
- 關於apple id帳號復原時間 在 Re: [問題] Apole ID 帳號復原時間- 看板iOS - 批踢踢實業坊 的評價
- 關於apple id帳號復原時間 在 #發問apple id 帳號復原 - 3C板 | Dcard 的評價
- 關於apple id帳號復原時間 在 apple ID 帳號復原.... - Mobile01 的評價
- 關於apple id帳號復原時間 在 apple id帳號復原ptt - 投資資訊集合站 的評價
- 關於apple id帳號復原時間 在 [問題] Apple ID 帳號復原時間- 看板iOS - PTT數位生活區 的評價
- 關於apple id帳號復原時間 在 apple id帳號復原時間-在PTT/Mobile01上智慧型手機整理開箱 ... 的評價
- 關於apple id帳號復原時間 在 apple id帳號復原時間-在PTT/Mobile01上智慧型手機整理開箱 ... 的評價
- 關於apple id帳號復原時間 在 [問題] Apple ID密碼忘記了PTT 問答 - 虎航報到時間 的評價
- 關於apple id帳號復原時間 在 如果您的Apple ID 遭鎖定或停用 的評價
- 關於apple id帳號復原時間 在 【2022】只需1分鐘!忘記Apple ID的手機回復出廠狀態 的評價
- 關於apple id帳號復原時間 在 iOS - [問題] Apple ID被鎖住要求帳號復原疑問 - PTT網頁版 的評價
- 關於apple id帳號復原時間 在 iPhone 瘋先生- 經常有不少用戶在求救『 Apple ID 密碼忘記該 ... 的評價
- 關於apple id帳號復原時間 在 iOS - [問題] Apple ID被鎖住要求帳號復原疑問 - PTT生活資訊討論 的評價
- 關於apple id帳號復原時間 在 [問題] Apple ID被鎖住要求帳號復原疑問- iOS - BFPTT 的評價
- 關於apple id帳號復原時間 在 求助apple ID 忘記"安全提示問題"如何解決or重設- Mobile01 的評價
apple id帳號復原時間 在 #發問apple id 帳號復原 - 3C板 | Dcard 的推薦與評價
發問apple id 帳號復原. 3C. 2017年1月7日23:57. 要換新手機結果輸入帳號的時候一直顯示錯誤打給客服人員重複做一樣的動作都沒有用請問有人有經驗嗎?大概需要等幾天? ... <看更多>
apple id帳號復原時間 在 Re: [問題] Apole ID 帳號復原時間- 看板iOS - 批踢踢實業坊 的推薦與評價
※ 引述《jlo0711 (jlo)》之銘言:
: ------------------------------------------------------------------------------
: 我確定問問題前我有爬過文、查閱過精華區與置底,我真的找不到我問題的解答。
: 我保證我的問題和盜版沒有任何關係,若以上有虛假,版主可逕行處分
: 發問請附上iOS版本、機種等相關資訊,方便板友判斷問題所在喔
: ------------------------------------------------------------------------------
: 日前手機無法開機送修,後來工程師打電話來說要換整新機,不過原本手機「尋找我的iP
: hone」要關掉
: 之後不知道為什麼就收到一封信說密碼重置成功(?)
這邊就有問題了,沒有做任何操作,不可能會收到信件說密碼重置
: 到Apple網站也無法用原來密碼登入,只好選擇忘記密碼,結果系統要我輸入當初信任的
: 電話號碼後變成復原帳號需要幾天時間。
: 我爬文好像時間都不一定,還有等不到的,打了電話給客服也只是不斷跳針說這是由系統
: 決定的(系統還不是Apple設定的?),跟我說唯一能做只能等而已。
: 我想請問各位有經驗的大約等多久呢?帳號裡的備份很重要啊~
八成是雙重認證,就等吧。
雙重認證有點像是Apple把所有的權限都交給你保管,所以密碼、信任的設備、電話號碼
這三個都很重要,所以請記得密碼.....
我之前自己恢復過 大概兩個禮拜多 提供給你參考....
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.160.147.226
※ 文章網址: https://www.ptt.cc/bbs/iPhone/M.1494165973.A.A10.html
... <看更多>