有鑑於一般使用者對於Google Auth的認識不足,這邊還是提醒一下,Google Auth的
設計是以一組雜湊密碼搭配現實世界的時間,每15~60秒運算出6~8位數的隨機密碼。
以下幾點要注意:
1.Google Auth是離線式的設計,如果安裝App的裝置因故無法取得隨機密碼,如果沒
有保留雜湊密碼,只能透過帳號的官方客服去辦理解除OTP,如果有保留雜湊密碼則
可在新裝置的Google Auth重新加入該帳號並產生隨機密碼。
2.第1點提到,因為Google Auth是離線式設置,更換裝置會需要雜湊密碼,但是雜湊
密碼在第一次設定加入時是以明碼的方式呈現給使用者,如果操作系統環境本身就
已經是不乾淨的情況下,一樣會被盜取帳號、密碼、雜湊密碼,另外有使用者備份
雜湊密碼是使用未加密的文字檔,例如未加密的word, PDF, txt檔案,這樣被盜取
的機率也很大。
3.2FA的密碼產生方式因為與真實世界時間有關,所以裝置的時間不能偏離伺服器時間
太多。
4.防毒軟體一定要裝,現在的攻擊行為仍舊需要使用者放行後門軟體進入系統,但後門
軟體進入系統不一定是來自不知名的檔案,例如:英雄聯盟更新檔,所以務必買一套
防毒軟體,如果一套覺得太貴,看看你的角色投資了多少心力,如果不是很懂防毒設
定,推薦芬安全、趨勢科技,這兩套幾乎是安裝完後不用設定,有甚麼問題可以再回
覆或私信問我,有空我會回。
目前有線上式的2FA軟體Authy,基礎是建立在Google Auth的演算法,加上Authy本身的
伺服器達成2FA軟體跨裝置運作查看隨機密碼,優缺點如下:
優點:
1.跨裝置運作,只需要一組主帳號、密碼跟同步密碼,不用再手動備份雜湊密碼轉移到
新裝置,除非Authy公司倒了。
缺點:
1.因為是使用帳號、密碼、同步密碼做到跨裝置支援,那麼就需要無條件相信Authy的資
安能力。
注意事項:
1.使用者常常把主帳號設為過往或常用的帳號與密碼,導致被破譯。