Kathy小妹投資記錄

跌跌碰碰, 撞板多過吃飯, 只要唔放棄, 就算路兜遠左, 相信總會到達。不求大富大貴, 只求安樂茶飯。目標: 財務自由!!!!

技術分享系列 | 用YubiKey 代替Google Authenticator等 Authentication APP 做2FA | 附備份 YubiKey 方法

遇到只支援Authentication APP但不支援YubiKey的網站,我會用這個方法做雙重驗証(Two-factor authentication)。

雙重驗証

Two-factor authentication (2FA)雙重驗証是一個很好地提高安全性的登入方法,它可以大大減低不小心外洩密碼而被人冒認身分登入系統的風險。使用者會被要求提供這三個資料的其中兩項:

(1) what you know - 密碼

(2) what you have - 例如
■ Google Authenticator產生的token
■ SMS 一次性驗証碼
■ 安全金鑰硬件 (如YubiKey)
■ 銀行保安編碼器產生的token

(3) what you are - 指紋、聲紋等生物特徵

如果是電腦登入,通常要求用 (1) 及 (2)。手機版才有機會用到 (3)。

操作步驟

如果網站本身支援YubiKey,直接用YubiKey做認証就好。不需要以下步驟。 以下步驟適用於可以用Authentication APP 產生的Token 做雙重認證的系統。我們以有NFC功能Android 手機 及PayPal做例子。

1/ 準備兩條YubiKey
買兩條有NFC功能的YubiKey,一條平日使用,一條後備 。最便宜的選擇是Security Key NFC by Yubico (每條USD25)。請從官網或認可的分銷商購買。根據官網資料,香港有兩間分銷商:Netmon Information SystemsDT Asia Hong Kong

2/ 下載及安裝Yubico Authenticator

除了YubiKey,還需要在手機安裝YubiKey的APP Yubico Authenticator。兩者配合才可以取代Google Authenticator。用YubkiKey來認證身份。用Yubico Authenticator來產生代碼。

Android: https://play.google.com/store/apps/details?id=com.yubico.yubioath
iOS: https://apps.apple.com/us/app/yubico-authenticator/id1476679808

For Android
For iPhone

3/ 登入Paypal
登入Paypal後,選擇齒輪圖案—>安全設定—>2步認證—>設定


4/ 選擇使用認證器應用程式

5/ 取得安全金匙
Paypal 會要求你掃描QR Code或手動輸入安全金匙。有些網站(例如Google)則預設只顯示QR Code。重點來了,你需要的是安全金匙。如果沒有顯示出來,請根據網站指示把QR Code轉為安全金匙,然後抄下安全金匙。

Paypal 會同時顯示QR Code及安全金匙。
Google的話,按"無法掃描二維條碼嗎?"以顯示安全金匙。

6/ 在YubiKey Authenticator新增一個項目
打開手機的YubiKey Authenticator,按右下角的"+",選擇"MANUAL ENTRY"。

7/ 填寫資料及拍YubiKey

正常情況是Issuer 填系統名稱, Account name填登入名稱。我改為留空Issuer,在Account name 填Paypal。在Secret Key輸入安全金匙及按Save,然後開啟手機NFC功能,拍YubiKey,成功儲存項目。只要再拍多一次Yubikey,Paypal的認證代碼就會更新及從灰色變成黑色,在Paypal網頁輸入手機顯示的認證代碼。這樣就完成了。

拍YubiKey

8/ 設定後備YubiKey

雖然你有兩條YubiKey,但你不需要有兩套Yubico Authenticator。只需要關閉然後重新打開Yubico Authenticator。利用我們在第5步抄下的安全金匙,重做第6步及第7步。但這一次改為拍後備YubiKey,後備YubiKey的設定就完成了。由於Paypal 方面的設定已經做好,所以不用在Paypal輸入認證代碼。以此方法,你可以設定多條後備YubiKey。做完設定後,我會分別用主要及後備YubiKey登入,確定兩條匙都是運作正常後,就會銷毀抄下的安全金匙。

~~~~~~~~Q & A~~~~~~~~

為什麼要用YubiKey 取代Authentication APP?

因為當別人取得你的手機,就可以隨意使用內裡的Authentication APP。又或者手機進水了,壞了,不見了。你的Authentication APP 就不能用了。用YubiKey+Yubico Authenticator, 等於為手機的Authentication APP加上鎖,安全性較高。但另一方面,你又不需要擔心手機壞了的時候用不到。你只需要在另一個手機或電腦安裝Yubico Authenticator,不需要特別設定,立即可以使用本來的YubiKey 產生token。

手動輸入安全金匙佷麻煩,為什麼不直接掃QR Code?

好處一:用安全金匙,才可以設定多條YubiKey。如果用QR Code,你只可以設定一條YubiKey。
好處二:用安全金匙手動做設定,可以控制在Yubico Authenticator輸入及顯示的資料。詳情見下題。

為什麼不填寫Issuer, 而把"Paypal"填在Account Name一欄?

如果用QR Code登記,Yubico Authenticator會自動記錄系統名稱、使用者名稱和安全金匙。每次拍key,Yubico Authenticator都會顯示系統名稱、使用者名稱和token。而我的做法,Yubico Authenticator只會顯示系統名稱和token,既可以簡化APP的畫面,亦不需要提供太多資料。你甚至可以以其他名字取代系統名稱。

用QR Code建立的項目
手動用安全金匙建立的項目

我把安全金匙留起就好,不做備份YubiKey可以嗎?

為了你的帳號安全,我不會建議你儲存安全金匙。因為很大機會為了方便儲存,你會把密碼和安全金匙放在一起(可能是寫在同一張紙上,又或者儲存在同一個密碼管理器。)。密碼被洩漏時,安全金匙亦會被洩漏,失去了雙重認證的好處。畢竟現代社會,我們要處理的密碼已經太多了,分開兩者處理很花功夫。
而且,我不肯定你現有的YubiKey弄掉了,再買一個新的回來,你是否還可以沿用舊的安全金匙設定新YubiKey,繼續登入系統。所以,買多一條key 做後備吧!

還有什麼注意事項?

雖然你已經設定好兩條YubiKey,還是建議你再準備多一個後備的登入方法。例如備援電子郵件、備用驗証碼等,以防萬一。趕著用但是登入不了,是很痛苦的,我懂~~


我很希望香港的銀行支援YubiKey。現在每開一個銀行戶口,就多一個實體或手機版的保安編碼器,真的很煩人。。。


Like my work??
Don't forget to support or like, so I know you are with me..

CC BY-NC-ND 2.0

Want to read more ?

Login with one click and join the most diverse creator community.