第0035期•2015.12.20 發行
ISSN 2077-8813

首頁 > 專題報導

網路帳戶安全-兩步驟驗證機制

作者:林伯鴻 / 臺灣大學計算機及資訊網路中心程式設計組幹事

目前許多網路服務都推出了兩步驟驗證(2-Step Verification)來保護您的帳號安全。兩步驟驗證是做什麼的?為什麼登入帳號後需要再輸入一次驗證碼?本文簡單介紹兩步驟驗證。

前言
一般的情況下,要驗證是否為正確的使用者,通常是使用一組預先設定的帳號密碼,帳號與密碼正確就認為你是正確的使用者。
但是如果帳號密碼被其他人知道的情況下,個人的資料就會暴露在危險之中。為了防止帳號密碼被竊取造成的麻煩,現在許多網路服務都推出兩步驟驗證提高使用者的帳戶安全。


圖一  (圖片來源: https://www.google.com/intl/zh-TW/landing/2step/index.html)

兩步驟驗證介紹
兩步驟驗證是從雙重認證(Two-factor authentication)而來的。雙重認證也可稱為雙因素認證,主要的概念是由密碼學身分認證的主要三個因素使用其中的兩個因素作為認證的方法。
密碼學身分認證的三個因素是:所知之事(something you know)、所持之物(something you have)、所具之形(something you are),這三因素分別為正確使用者知道的事情(通關密碼)、持有的物品(智慧卡)與生物特徵(指紋或視網膜比對)。這三者有各自的優缺點,如果要讓認證更安全可以同時使用多種認證方法。


圖二  (圖片來源: http://blog.jrj.org/2013/09/13/fingerprints-for-mobile-authentication/)

目前普遍是使用第一種作為認證方法,兩步驟驗證是結合所知之事(帳號密碼)與所持之物(E-Mail或是簡訊)的驗證方式,流程如下。
首先登入服務的第一步先驗證使用者的帳號密碼是否正確,正確後進入第二步從伺服器發送一次性的驗證碼,確認驗證碼正確後才能夠成功登入。如此能夠有效的避免帳號密碼讓其他人取得而被使用服務的情況。


圖三  (圖片來源: https://support.google.com/a/answer/175197)

兩步驟驗證設定範例 - Google帳戶
本節介紹行動裝置最常使用的Google帳戶的兩步驟驗證設定流程,與設定後登入的差異。
1. 首先進入Google的兩步驗證頁面(https://www.google.com/landing/2step/),點選右上角的開始使用並登入帳號。
2. 接下來會進入四個階段的設定流程。


圖四  先設定您的行動電話號碼


圖五  您的設定的行動電話會收到驗證碼,輸入後進入下一步


圖六 是否信任這部電腦,不是自己的電腦建議不要勾選


圖七 點擊確認後就完成設定


圖八 完成設定後會進入兩步驟驗證的設定畫面

3. 設定過後登入會多出詢問驗證碼,並且會收到驗證碼。驗證碼正確才能完成登入。


圖九 登入畫面與驗證碼簡訊

結論
有些網站的服務涵蓋範圍非常廣,一組帳號背後涵蓋的範圍非常的廣,只有一組帳號密碼是非常不安全的,增加了兩步驟驗證後可多一層的保護。雖然使用兩步驟驗證後會讓登入變得比較複雜,但與提高的安全性比起來還是值得的。


圖十 (圖片來源:http://www.miicard.com/blog/201305/rise-2-step-verification-account-protection)

參考資料
1. Google兩步驟驗證:https://www.google.com/landing/2step/
2. 資訊安全概論與實務:http://epaper.gotop.com.tw/pdf/aee030900.pdf
3. 網上銀行雙重認證保障資金安全:https://www.hkab.org.hk/game/start.html
4. 保護10個最重要網路帳戶:帳號兩步驟驗證教學大全:
http://www.playpcesor.com/2015/10/10.html
5. 開啟帳號防盜兩步驟驗證結果無法登入?備援方法教學:
http://www.playpcesor.com/2013/07/blog-post.html