[Drama] 2FA：Authy官网介绍文阅读心得

这篇是我们在启动2FA/双重认证的时候，遭遇了戏剧型灾难（Drama），让一件很简单的事情，作了好几天才完成。简单写起来，我们在这场不幸中学到的新知，如果可以对大家有帮助是最好不过了。

第一篇：什么是2FA？ (点连过去)

官网就是因为是要鼓励大家使用自己的服务，所以在介绍观念或服务内容的时候会用平易近人的方式，甚至还会激发访客的学习动机，这篇就是很好的例子，纲要清晰、易读易懂。

一开始解释 为什么有密码还不够？的时候，就用了非常日常的原因，我们那时候因为竟然操作失败心灰意冷，满脑满头都是沉重的黑云，很怕等下又要再遇到闪电，但看到官网这么写，心情就开始往开朗的方向移动。 （不然就已经在惨了，谁会想在整串的英文字里找到方向？）（但会去找来看，确实是认为自己在观念上不够清楚）

三个原因：人类的记性就是很糟、太多帐户、对网路帐密安全已经感到疲倦或倦怠（如果没有变成所有帐户都改用一组太简单的密码，就是会在一个地方把自己所有的帐密都记写起来）

• Humans have lousy memories.
• Too many accounts:
• Security fatigue sets in:

然后文章开始介绍过往我们曾经遇过的保障帐密安全的方式，比如回答一个只有你知道答案的问题，还有 有哪些类型的2FA ，这很帮助我们用过去的经验来整理和建立对2FA这个新词的认识。

建议大家一项一项看下去，就会明白我们得到的理解。所为纲要清晰，粗粉红色是大标，系粉红色是小标，我们看到第三项的小标，就有雀跃感，因为判断Software Tokens for 2FA就是我们这次遭遇失败的方式，我们的困惑可能就要迈向解决了。

Hardware Tokens for 2FA
（：实体硬件，可能是最古老形式的双重认证，后来也有走USB路线的，缺点是对大企业来说要普遍给客户使用的成本太高了）

SMS Text-Message and Voice-based 2FA

Software Tokens for 2FA

Push Notification for 2FA

Other Forms of Two-Factor Authentication
（：指纹、虹膜、脸部辨识）

SMS传讯认证和现在线上刷卡的OTP同属于一次性传输的安全保障，不会涉及使用者其它的网路和社交等资产，所以OK，但类似脸书、discord或Gmail这些长期使用累积的客户和关系，被盗一次就没了，所以最近LikeCoin Ｄiscord采取要用户启动2FA双重认证。

接下来有一段影片（Everybody Should 2FA）对我们也有帮助，就是实际看一下人在操作的样子，因为桌机有应用程式，手机也有app，一下手机一下电脑的，到底哪个要先？对不熟的人来说，这会是个问题，看真人操作比较能得到概念：这玩意儿装好以后，用起来大概是怎么样。

最后，如果还想更了解2FA，还有很多学习资源，我们也去看了一篇，为什么Authy App可以作备份。 第二篇：How Authy 2FA Backups Work然后明白我们自己干了什么好事，为什么会遇到挫折。

先来看这个画面，就是你如果在桌机上要去启动2FA的时候会看到的画面：

启动就是两个方式，QR Code或手动输入，让Authy那边得出我们有的Discord帐号，之后，Authy就会每三十秒生出一个Token，Token就是上面图最下面要的六位数验证码。我们后来去试脸书，也是这样。你打完帐号密码就要开Authy来传送六位数回脸书，才会登入成功。

（启动成功以后系统会给你一组十个的八位数备份密码，每个密码只能用一次。用完再去产生。）

所以第一篇文章要开始介绍2FA的时候，才会说就算你帐密掉了，手机掉了，2FA(双重认证)的设计仍然能保护你的帐号和帐号里的东西。

透过每三十秒发送一次的一次性数字组合，让你的登入多一层安全保障，真的要骇的人就算拿到那组数字也没有办法再使用。

我们是在桌机启动2FA的时候先安装了Authy，完成了认证。于是我们就很开心手机地要去手机上重复一次操作，也下好了App，然后手机上的Discord就要我们扫QR Code或输入一组六位数来重新登入，还有一个下拉选项是输入备份密码。

这时候你会怎么做？

我们那时候观念还不清楚，马上两个念头，一个就想回桌机看刚刚那个又有QR Code又有六位数的画面（可是设好就也看不到了）；另一个是要去手机上的Authy App找，Authy App也要我们输入备份密码，Discord系统产生的备份密码是纯文字档，用记事本开的，记事本的字体真不是盖的，数字1和英文字母L的小写，很难看出差别，我们后来贴到Word去改字体。但这不是最简便的做法，最好是可以直接剪下贴上，一开始就下载App在手机上，用手机去启动也许比较理想。总之，情急之下，我们输入了几次八位数都无效，不知道要上哪去找刚刚的六位数。超级崩溃。因为觉得启动是为了给自己保障，结果为了启动我们把自己锁在外面，进不去了。

最正确的做法，事发当天当下可以直接去桌机的Authy得到一组六位数来登入就好了。这是为什么我去LikeCoin Discord向@leafwind求救的时候，他会感到困惑的原因。很感谢他跟我说了六位数会一直变化的事情，让我们可以一步步推理下去找出我们的问题和建立正确的认识。

在官网的第二篇文里，我们还点出了一篇很有意思的文，也是很容易读来增进了解的英文，关于密码的。 Salted Password Hashing - Doing it Right

以上就是戏剧型灾难（drama）中的有所收获。