Revision history and IPFS entry, back to latest
陳姸名
IPFS What is this

Content Hash

[Drama] 2FA:Authy官網介紹文閱讀心得

陳姸名
·
·
就算你帳密掉了,手機掉了,2FA(雙重認證)的設計仍然能保護你的帳號和帳號裡的東西。透過每三十秒發送一次的一次性數字組合,讓你的登入多一層安全保障,真的要駭的人就拿到那組數字也沒有辦法再使用。


這篇是我們在啟動2FA/雙重認證的時候,遭遇了戲劇型災難(Drama),讓一件很簡單的事情,作了好幾天才完成。簡單寫起來,我們在這場不幸中學到的新知,如果可以對大家有幫助是最好不過了。


第一篇:甚麼是2FA?(點連過去)


官網就是因為是要鼓勵大家使用自己的服務,所以在介紹觀念或服務內容的時候會用平易近人的方式,甚至還會激發訪客的學習動機,這篇就是很好的例子,綱要清晰、易讀易懂。

一開始解釋 為甚麼有密碼還不夠? 的時候,就用了非常日常的原因,我們那時候因為竟然操作失敗心灰意冷,滿腦滿頭都是沉重的黑雲,很怕等下又要再遇到閃電,但看到官網這麼寫,心情就開始往開朗的方向移動。(不然就已經在慘了,誰會想在整串的英文字裡找到方向?)(但會去找來看,確實是認為自己在觀念上不夠清楚)

三個原因:人類的記性就是很糟、太多帳戶、對網路帳密安全已經感到疲倦或倦怠(如果沒有變成所有帳戶都改用一組太簡單的密碼,就是會在一個地方把自己所有的帳密都記寫起來)

  • Humans have lousy memories. 
  • Too many accounts: 
  • Security fatigue sets in: 


然後文章開始介紹過往我們曾經遇過的保障帳密安全的方式,比如回答一個只有你知道答案的問題,還有 有哪些類型的2FA ,這很幫助我們用過去的經驗來整理和建立對2FA這個新詞的認識。

建議大家一項一項看下去,就會明白我們得到的理解。所為綱要清晰,粗粉紅色是大標,系粉紅色是小標,我們看到第三項的小標,就有雀躍感,因為判斷Software Tokens for 2FA就是我們這次遭遇失敗的方式,我們的困惑可能就要邁向解決了。

Hardware Tokens for 2FA
(:實體硬件,可能是最古老形式的雙重認證,後來也有走USB路線的,缺點是對大企業來說要普遍給客戶使用的成本太高了)

圖片來自: https://en.wikipedia.org/wiki/Security_token#/media/File:CryptoCard_two_factor.jpg

SMS Text-Message and Voice-based 2FA

Software Tokens for 2FA

Push Notification for 2FA

Other Forms of Two-Factor Authentication
(:指紋、虹膜、臉部辨識)


SMS傳訊認證和現在線上刷卡的OTP同屬於一次性傳輸的安全保障,不會涉及使用者其它的網路和社交等資產,所以OK,但類似臉書、discord或Gmail這些長期使用累積的客戶和關係,被盜一次就沒了,所以最近LikeCoin Discord採取要用戶啟動2FA雙重認證。


接下來有一段影片(Everybody Should 2FA)對我們也有幫助,就是實際看一下人在操作的樣子,因為桌機有應用程式,手機也有app,一下手機一下電腦的,到底哪個要先?對不熟的人來說,這會是個問題,看真人操作比較能得到概念:這玩意兒裝好以後,用起來大概是怎麼樣


最後,如果還想更了解2FA,還有很多學習資源,我們也去看了一篇,為甚麼Authy App可以作備份。第二篇:How Authy 2FA Backups Work 然後明白我們自己幹了甚麼好事,為什麼會遇到挫折。


先來看這個畫面,就是你如果在桌機上要去啟動2FA的時候會看到的畫面:


啟動就是兩個方式,QR Code或手動輸入,讓Authy那邊得出我們有的Discord帳號,之後,Authy就會每三十秒生出一個Token,Token就是上面圖最下面要的六位數驗證碼。我們後來去試臉書,也是這樣。你打完帳號密碼就要開Authy來傳送六位數回臉書,才會登入成功。

(啟動成功以後系統會給你一組十個的八位數備份密碼,每個密碼只能用一次。用完再去產生。)


所以第一篇文章要開始介紹2FA的時候,才會說就算你帳密掉了,手機掉了,2FA(雙重認證)的設計仍然能保護你的帳號和帳號裡的東西。

透過每三十秒發送一次的一次性數字組合,讓你的登入多一層安全保障,真的要駭的人就算拿到那組數字也沒有辦法再使用。


我們是在桌機啟動2FA的時候先安裝了Authy,完成了認證。於是我們就很開心手機地要去手機上重複一次操作,也下好了App,然後手機上的Discord就要我們掃QR Code或輸入一組六位數來重新登入,還有一個下拉選項是輸入備份密碼。

這時候你會怎麼做?






我們那時候觀念還不清楚,馬上兩個念頭,一個就想回桌機看剛剛那個又有QR Code又有六位數的畫面(可是設好就也看不到了);另一個是要去手機上的Authy App找,Authy App也要我們輸入備份密碼,Discord系統產生的備份密碼是純文字檔,用記事本開的,記事本的字體真不是蓋的,數字1和英文字母L的小寫,很難看出差別,我們後來貼到Word去改字體。但這不是最簡便的做法,最好是可以直接剪下貼上,一開始就下載App在手機上,用手機去啟動也許比較理想。總之,情急之下,我們輸入了幾次八位數都無效,不知道要上哪去找剛剛的六位數。超級崩潰。因為覺得啟動是為了給自己保障,結果為了啟動我們把自己鎖在外面,進不去了。


最正確的做法,事發當天當下可以直接去桌機的Authy得到一組六位數來登入就好了。這是為什麼我去LikeCoin Discord向 @leafwind 求救的時候,他會感到困惑的原因。很感謝他跟我說了六位數會一直變化的事情,讓我們可以一步步推理下去找出我們的問題和建立正確的認識。


在官網的第二篇文裡,我們還點出了一篇很有意思的文,也是很容易讀來增進了解的英文,關於密碼的。Salted Password Hashing - Doing it Right


以上就是戲劇型災難(drama)中的有所收穫。

CC BY-NC-ND 2.0