[Drama] 2FA:Authy官网介绍文阅读心得

陳姸名
·
(修改过)
·
IPFS
·
就算你帐密掉了,手机掉了,2FA(双重认证)的设计仍然能保护你的帐号和帐号里的东西。透过每三十秒发送一次的一次性数字组合,让你的登入多一层安全保障,真的要骇的人就拿到那组数字也没有办法再使用。


这篇是我们在启动2FA/双重认证的时候,遭遇了戏剧型灾难(Drama),让一件很简单的事情,作了好几天才完成。简单写起来,我们在这场不幸中学到的新知,如果可以对大家有帮助是最好不过了。


第一篇:什么是2FA? (点连过去)


官网就是因为是要鼓励大家使用自己的服务,所以在介绍观念或服务内容的时候会用平易近人的方式,甚至还会激发访客的学习动机,这篇就是很好的例子,纲要清晰、易读易懂。

一开始解释 为什么有密码还不够?的时候,就用了非常日常的原因,我们那时候因为竟然操作失败心灰意冷,满脑满头都是沉重的黑云,很怕等下又要再遇到闪电,但看到官网这么写,心情就开始往开朗的方向移动。 (不然就已经在惨了,谁会想在整串的英文字里找到方向?)(但会去找来看,确实是认为自己在观念上不够清楚)

三个原因:人类的记性就是很糟、太多帐户、对网路帐密安全已经感到疲倦或倦怠(如果没有变成所有帐户都改用一组太简单的密码,就是会在一个地方把自己所有的帐密都记写起来)

  • Humans have lousy memories.
  • Too many accounts:
  • Security fatigue sets in:


然后文章开始介绍过往我们曾经遇过的保障帐密安全的方式,比如回答一个只有你知道答案的问题,还有 有哪些类型的2FA ,这很帮助我们用过去的经验来整理和建立对2FA这个新词的认识。

建议大家一项一项看下去,就会明白我们得到的理解。所为纲要清晰,粗粉红色是大标,系粉红色是小标,我们看到第三项的小标,就有雀跃感,因为判断Software Tokens for 2FA就是我们这次遭遇失败的方式,我们的困惑可能就要迈向解决了。

Hardware Tokens for 2FA
(:实体硬件,可能是最古老形式的双重认证,后来也有走USB路线的,缺点是对大企业来说要普遍给客户使用的成本太高了)

图片来自: https://en.wikipedia.org/wiki/Security_token#/media/File:CryptoCard_two_factor.jpg

SMS Text-Message and Voice-based 2FA

Software Tokens for 2FA

Push Notification for 2FA

Other Forms of Two-Factor Authentication
(:指纹、虹膜、脸部辨识)


SMS传讯认证和现在线上刷卡的OTP同属于一次性传输的安全保障,不会涉及使用者其它的网路和社交等资产,所以OK,但类似脸书、discord或Gmail这些长期使用累积的客户和关系,被盗一次就没了,所以最近LikeCoin Discord采取要用户启动2FA双重认证。


接下来有一段影片(Everybody Should 2FA)对我们也有帮助,就是实际看一下人在操作的样子,因为桌机有应用程式,手机也有app,一下手机一下电脑的,到底哪个要先?对不熟的人来说,这会是个问题,看真人操作比较能得到概念:这玩意儿装好以后,用起来大概是怎么样


最后,如果还想更了解2FA,还有很多学习资源,我们也去看了一篇,为什么Authy App可以作备份。 第二篇:How Authy 2FA Backups Work然后明白我们自己干了什么好事,为什么会遇到挫折。


先来看这个画面,就是你如果在桌机上要去启动2FA的时候会看到的画面:


启动就是两个方式,QR Code或手动输入,让Authy那边得出我们有的Discord帐号,之后,Authy就会每三十秒生出一个Token,Token就是上面图最下面要的六位数验证码。我们后来去试脸书,也是这样。你打完帐号密码就要开Authy来传送六位数回脸书,才会登入成功。

(启动成功以后系统会给你一组十个的八位数备份密码,每个密码只能用一次。用完再去产生。)


所以第一篇文章要开始介绍2FA的时候,才会说就算你帐密掉了,手机掉了,2FA(双重认证)的设计仍然能保护你的帐号和帐号里的东西。

透过每三十秒发送一次的一次性数字组合,让你的登入多一层安全保障,真的要骇的人就算拿到那组数字也没有办法再使用。


我们是在桌机启动2FA的时候先安装了Authy,完成了认证。于是我们就很开心手机地要去手机上重复一次操作,也下好了App,然后手机上的Discord就要我们扫QR Code或输入一组六位数来重新登入,还有一个下拉选项是输入备份密码。

这时候你会怎么做?






我们那时候观念还不清楚,马上两个念头,一个就想回桌机看刚刚那个又有QR Code又有六位数的画面(可是设好就也看不到了);另一个是要去手机上的Authy App找,Authy App也要我们输入备份密码,Discord系统产生的备份密码是纯文字档,用记事本开的,记事本的字体真不是盖的,数字1和英文字母L的小写,很难看出差别,我们后来贴到Word去改字体。但这不是最简便的做法,最好是可以直接剪下贴上,一开始就下载App在手机上,用手机去启动也许比较理想。总之,情急之下,我们输入了几次八位数都无效,不知道要上哪去找刚刚的六位数。超级崩溃。因为觉得启动是为了给自己保障,结果为了启动我们把自己锁在外面,进不去了。


最正确的做法,事发当天当下可以直接去桌机的Authy得到一组六位数来登入就好了。这是为什么我去LikeCoin Discord向@leafwind求救的时候,他会感到困惑的原因。很感谢他跟我说了六位数会一直变化的事情,让我们可以一步步推理下去找出我们的问题和建立正确的认识。


在官网的第二篇文里,我们还点出了一篇很有意思的文,也是很容易读来增进了解的英文,关于密码的。 Salted Password Hashing - Doing it Right


以上就是戏剧型灾难(drama)中的有所收获。

CC BY-NC-ND 2.0 授权

喜欢我的作品吗?别忘了给予支持与赞赏,让我知道在创作的路上有你陪伴,一起延续这份热忱!

logbook icon
陳姸名為了和寫文章的人交朋友而註冊的台灣小國島民...。目前地表人界的稱謂是天空看守所所代。37歲的時候決定作37件沒作過的事情,意外成為習慣,終於也作了煮婦:進廚房、上傳統市場,尤其喜愛在地食材和各式異國的平民料理。
  • 来自作者
  • 相关推荐

綜覽 GG22 土地再生專案

環境信託、混林農業和土地再生

GG--公共財募資氣候專案
10 篇作品