Google 提倡更安全簡便的兩步驟驗證，將 Android 智慧手機當成硬體密碼鎖

身分認證是資訊安全最重要的環節，如何讓網路服務提供者、伺服器辨識使用者是本尊或冒充的惡意攻擊者，就成了關鍵因素。目前最普遍的方式之一就是透過密碼辨識，並可搭配兩步驟驗證提升安全性，Google 則透過 Android 智慧手機內建的安全金鑰驗證，增進便利性。

更安全的兩步驟驗證

理想狀態下，密碼是只有使用者本人知道，其他人都不知道的字串，因此能有效辨識使用者身分。但人們往往因為惰性、記不住密碼，設定太簡單、容易被猜中的密碼，讓安全性大打折扣。

而兩步驟驗證是在原本的密碼上，額外增加一道防線，當使用者（或冒充的攻擊者）登入帳號時輸入正確密碼後，系統會要求輸入另一組時效極短的臨時密碼，再次確認使用者身分。

這組臨時密碼往往透過簡訊傳送至已綁定的手機，由於攻擊者不太容易同時掌握第一階段的密碼，以及第二階段的臨時密碼，所以能有效增加安全性。

▲ 兩步驟驗證能藉由額外驗證程序降低帳號被盜用的風險。（Source：Google）

以 Android 智慧手機執行兩步驟驗證

Google 延續 Titan Security Key 硬體密碼鎖的概念，以 FIDO（Fast IDentity Online，快速線上身分認證）聯盟的規範為基礎，推出具高度安全性且更易使用的機制，讓使用者利用智慧手機為電腦 Google 帳號進行兩步驟驗證。

如果要使用這個功能，使用者需準備安裝 Android 7.0 以上作業系統的智慧手機，並開啟手機的內建安全金鑰功能，且電腦支援 Chrome OS、macOS X、Windows 10 等作業系統的 Chrome 瀏覽器，此外電腦需支援藍牙通訊功能。

設定的過程需先在 Android 智慧手機登入 Google 帳號，並開啟兩步驟驗證功能。接著在電腦進入與上步驟相同的兩步驟驗證設定網頁，並在增加安全金鑰（Add security key）頁面，指定對應的 Android 智慧手機。

當設定完成後，確定手機與電腦透過藍牙連線，就能在電腦登入 Google 帳號時，透過 Android 智慧手機為兩步驟驗證的硬體密碼鎖。

▲ 以手機為兩步驟驗證裝置讓操作更簡便。（Source：Google，下同）

▲ 設定完成後，電腦登入 Google 帳號時一樣需先輸入密碼。

▲ 接著系統會提醒使用者透過 Android 智慧手機進行兩步驟驗證。

▲ 在手機確定帳號無誤，按下確認就可登入。

▲ 操作過程不需等待手機簡訊，整體流程更便捷。

利用這種方式透過手機進行兩步驟驗證能有效提升資訊安全性，同時也不會讓操作手續太複雜，但如果對安全需求更高時，也可以參考 USB 介面的硬體密碼鎖，以達到更高層級的安全防護。

（本文由 T客邦 授權轉載；首圖來源：Google）