身分認證是資訊安全最重要的環節,如何讓網路服務提供者、伺服器辨識使用者是本尊或冒充的惡意攻擊者,就成了關鍵因素。目前最普遍的方式之一就是透過密碼辨識,並可搭配兩步驟驗證提升安全性,Google 則透過 Android 智慧手機內建的安全金鑰驗證,增進便利性。
更安全的兩步驟驗證
理想狀態下,密碼是只有使用者本人知道,其他人都不知道的字串,因此能有效辨識使用者身分。但人們往往因為惰性、記不住密碼,設定太簡單、容易被猜中的密碼,讓安全性大打折扣。
而兩步驟驗證是在原本的密碼上,額外增加一道防線,當使用者(或冒充的攻擊者)登入帳號時輸入正確密碼後,系統會要求輸入另一組時效極短的臨時密碼,再次確認使用者身分。
這組臨時密碼往往透過簡訊傳送至已綁定的手機,由於攻擊者不太容易同時掌握第一階段的密碼,以及第二階段的臨時密碼,所以能有效增加安全性。
以 Android 智慧手機執行兩步驟驗證
Google 延續 Titan Security Key 硬體密碼鎖的概念,以 FIDO(Fast IDentity Online,快速線上身分認證)聯盟的規範為基礎,推出具高度安全性且更易使用的機制,讓使用者利用智慧手機為電腦 Google 帳號進行兩步驟驗證。
如果要使用這個功能,使用者需準備安裝 Android 7.0 以上作業系統的智慧手機,並開啟手機的內建安全金鑰功能,且電腦支援 Chrome OS、macOS X、Windows 10 等作業系統的 Chrome 瀏覽器,此外電腦需支援藍牙通訊功能。
設定的過程需先在 Android 智慧手機登入 Google 帳號,並開啟兩步驟驗證功能。接著在電腦進入與上步驟相同的兩步驟驗證設定網頁,並在增加安全金鑰(Add security key)頁面,指定對應的 Android 智慧手機。
當設定完成後,確定手機與電腦透過藍牙連線,就能在電腦登入 Google 帳號時,透過 Android 智慧手機為兩步驟驗證的硬體密碼鎖。
利用這種方式透過手機進行兩步驟驗證能有效提升資訊安全性,同時也不會讓操作手續太複雜,但如果對安全需求更高時,也可以參考 USB 介面的硬體密碼鎖,以達到更高層級的安全防護。
(本文由 T客邦 授權轉載;首圖來源:)