零基資安訓練營（七）：使用二步認證

文：薯伯伯

其中一個最重要，最有效，最必須，但又經常被人忽略的保安方法，是二步認證。例如蕭若元 YouTube 的 2.6 萬條影片被刪，到底是否政治打壓，現在不敢妄下判斷，我還是較為傾向於相信是黑客入侵。（YouTube 「黃標事件」看來應該是政治打壓，但全頻刪片卻保留戶口，又似乎不是 Google 慣用的手法。）

如果能預先做好二步認證，黑客要入侵戶口，難度就高出很多。因為這很重要，所以大家聽我講，不論政見如何，不論是否覺得自己會成為入侵目標，但今天起碼要完成以下其中一個 2FA 保護，之後陸續加強不同服務的 2FA。

所謂「二步認證」，英文叫 two-factor authentication，簡稱 2FA，是指登入戶口時，除了原有的登入認證，還要有其他認證的「因素」，例如額外再加一個密碼、手機短訊驗證，動態密碼（例如 Google Authenticator）、Yubikey 硬件鑰匙等等。

萬一有人偷看到你輸入密碼，例如在電腦裡安裝了 keylogger，記錄鍵盤動作，又或是從遠遠拉長望遠鏡去偷看你打字（哎，你以為你是誰？有人肯定這樣問。）豈料你是一個漂亮又謹慎的人，一早就開通了 2FA，那麼對方即使非法取得你的密碼，但還要輸入另一個動態密碼才能登入，你的戶口安全無損。在這篇文章裡，還是先以手機短訊的方式，談一下二步認證的具體操作。

以下設置 2FA 的方法，通常就是用一個六位密碼（不是太好，但總好過沒有），authenticator

WhatsApp 的二步認證：

當你在新手機上安裝 WhatsApp 後，一般的登入方法，是插入 SIM 卡，收到一個短訊，裡面有個六位認證碼，輸入就能登錄 WhatsApp。這個方法過於簡單，很大風險，所以要二步認證。

啟用二步認證後，除了要輸入短訊內的六位認證碼，還要再輸入一個自訂密碼，設置方法如下：

打開 WhatsApp - （右下方）設定 - 帳號 - 雙步驟驗證 - 自己選擇一個六位數字的 PIN，不要用生日日期。考慮輸入一個後備的電郵地址，萬一忘記了 PIN，可以重設戶口。（但如果你百分之百肯定不會忘記 PIN，就不要額外設定復原的電郵地址，因為越多重設的渠道，也就代表越多保安的漏洞。）

Signal 通訊軟件的二步認證：

點擊自己的頭像，選擇「隱私權」- 設置 Signal PIN 碼，啟用 PIN 碼提醒及註冊鎖。

Google 戶口的二步認證：

1. 打開 https://myaccount.google.com/
2. 選擇保安或安全（Security），如果用桌面版，在左邊。如果用手機版，則在 Google Account 字樣下方的菜單，要用手指向左掃一掃才能看見。
3. 開啟二步認證。
4. 輸入戶口密碼。
5. 選擇下載 Google Authenticator 動態密碼生成器，跟著畫面指示掃 QR 碼，輸入認證，便能確定完成。

Facebook 的二步認證：

1. 打開 https://www.facebook.com/settings 。
2. 在左邊選擇保安及登入。
3. 選擇「二步認證」，輸入戶口密碼。
4. 之後選擇下載 Google Authenticator 動態密碼生成器，跟著畫面指示掃 QR 碼，輸入認證，便能確定完成。

Apple ID 的二步認證：

在 iPhone 打開設定 - 點選「你的名字」 - 密碼與保安，再按畫面上的指示去開啟雙重認證。

Patreon 用戶的二步認證：

近來不少創作人都開通了 Patreon 平台（包括我），謹記要加強相關保安，先進入 https://www.patreon.com/settings/profile ，在 Security 下選擇 Add via SMS 或 Add via TOTP authenticator app（即例如 Google Authenticator 之類）。

多了一層 2FA，會否影響日常工作的效率或速度呢？我的主要戶口，是每次關閉瀏覽器都會自動登出，所以我每天都要輸入數次密碼及 2FA 認證，早已是上網生活的一部份。你知道每天都做足 2FA 防護措施，經過一年半載後，會有甚麼效果嗎？就是現在當我使用一些服務，居然是不支援 2FA，我反而會覺得周身不自在，甚至會拒絕使用該服務（如果有其他選項）。

另外，有些服務，至今仍然只支援安全級別較低的手機 SMS 認證，萬一手機 SIM 卡被騎劫了，那這層保障就如同虛設。所以，如果有其他認證因素，就應避免使用 SMS 做驗證。如果真的沒有選擇，必須用 SMS 做驗證，那麼就必須加強 SMS 的保安級別。至於如何去做，因為涉及過多細節，我們找天有時間再好好談談。

照片：Hacker Noon via Unsplash

*———*

請訂閱 Patreon 頻道，支持不受干預的獨立分析及評論。

http://patreon.com/pazu

有關安全鑰匙 Yubikey，你問我答：

對於 Yubikey 嘅功能同用法，我覺得好多人唔太明白，甚至會有誤解，認為「有伏」或危險。之前陳婉容攞到 Yubikey 公司嘅贊助，其帖文下有唔少討論，佢哋唔係問我，我只係路過講兩句，越寫越多，所以攞過嚟同大家分享一下。

一：

有人問：

若果硬體及yubikey 都被popo拿到。。。。那怎辦？？

薯伯答：

建議你每次都要 log out facebook/gmail 等戶口，每次進去，都要登入，避免用 facebook app / gmail app 等等，要用 browser 登錄，而且要每次 exit browser，都可以自動 delete cookies。

最好係可以熟習 log out 同 log in 嘅過程，將 log out / log in 變成上網的常態及習慣。

答番你個問題，如果警方取得搜查令，佢哋係可以要求你開手機（有搜查令嘅情況下，唔開機可能係刑事）。但係如果你習慣清機，delete cookies，其實警方攞到你嘅 yubikey，無密碼都係入唔到你網上嘅戶口。

想要保安嚴密，係會麻煩啲，但應該要養成習慣。

二：

有人問：

佢（警察）可以要求我開。。。。但我忘記/入錯左。。咁？？？

薯伯答：

咁呢個要睇番案例，呢個唔係一兩句答到。但之前法夢嗰邊出過兩篇文章，係好詳細討論。

當警方取得搜查令，市民能否拒絕解鎖手機？

https://www.thenewslens.com/article/121235
https://www.thenewslens.com/article/121234

如果文章太長，佢哋個結語係：

「若警方取得容許提取電話內容的搜查令，被查人拒絕警方的搜查會被視作阻撓警方，很可能構成刑事罪行。因此，在這種情況，除非被查人的確有受法律專業保密特權的通訊載電話之內，否則交出密碼或將電話解鎖似乎是不能避免的。」

所以，你開手機，好大機會係要開。

但係，我問過一位大律師朋友，按佢個理解，警方取得搜查令後，只可以攞你個手機/電腦，但唔可以逼你登入戶口。

所以只要你有一個難記嘅密碼，加一條Yubikey，咁就安全。

三：

有人話：

DO NOT LET THEM (POPO?) HAD YUBIKEY, GIve your yubikey to friend who dont live next to you.

薯伯答：

我想話，我係唔認同呢個做法，因為咁樣只係會麻煩，亦都代表你個戶口係經常處於「登入」嘅狀態，咁即係更加危險。

最好嘅做法係，手機上唔好留有 mail app，要用 browser 嚟 log in email 戶口，每一次離開 browser 都會 delete cookies 同登入記錄。

電腦都儘量做到咁，每次 exit browser，都清 cookies.

最好係每日都要習慣 log out and log in 戶口，要熟習呢個過程。

四：

有人問：

點解我覺得有伏？真的安全？？舊嘢冇後門？呢啲嘢自己用錢買會唔會安心啲呢？

薯伯答：

可能因為你唔了解個技術，所以覺得有伏啦。你不如先了解一下呢個業界嘅標準。

五：

有人問：

冇用呀。。啲柒頭會走嚟搜屋。加上喺出面行得嘅要有最新最即時嘅資訊，呢樣嘢反而會妨礙咗佢哋。

薯伯答：

可能因為你唔了解個技術係有乜作用，不如先了解一下，再下定論。

六：

有人說：

Google use Titan key mostly these day. but they both use FIDO standard.

薯伯答：

Titan 的製造公司係 Feitian（飞天），同中國軍方合作無間，暫時係完全無證據顯示佢哋有問題，但係，將來好難排除。

Yubikey則係瑞典造。

設計上，Yubikey係靚仔過飛天（Titan）好多。

七：

有人講：

Er...公司用緊，是咁的，如果有人用呢隻手指插入你部機，唔洗你本人登記的指紋都可以開到🤦🏻‍♂️

薯伯回：

唔係好肯定你用邊個mode，係咪 smart card (PIV) mode 無加 PIN？如果真係打算用佢嚟 log in 電腦，可以考慮用 PAM mode，即係 challenge response with PAM.

不過如果你本身用 mac，log in 時有個較強嘅密碼，同埋確保電腦係開咗 file vault 加密，咁都應該夠安全。

重有要確保你主要用嘅戶口，係 standard 嘅權限，唔係 admin，咁就可以了。

1. 如果你主要開機戶口嘅權限只係 standard 而唔係 admin
2. 而你個 hdd 本身有 encrypted (File Vault)
3. 你本身 admin 戶口個密碼 log in 係夠強，例如大於 6 個 random 選擇嘅 diceware words（第三點尤為重要，因為好多人會貪方便而忽略咗，例如我個開機密碼，估計要 919萬億年先可以用電腦破解。可以去呢度測試一下密碼強度，唔好真密碼去試，大概得㗎喇： https://howsecureismypassword.net/）

咁你個電腦，係無必要用 yubikey 嚟開機。

＝＝＝

Yubikey支持香港人嘅帖，請看：https://www.facebook.com/sherrychanyy/photos/a.517784544922353/2803649153002536/?type=3&permPage=1

Yubikey公司官網，去感謝佢哋： http://www.yubikey.com/ (搵佢Twitter / Facebook)

之前其他相關帖：https://www.facebook.com/pazukong/posts/2642142469351882?__tn__=-R

＝＝＝

電腦手機網絡安全（一）：SIM 卡鎖：https://www.facebook.com/pazukong/photos/a.2007886759444126/2634928633406599/

電腦手機網絡安全（二）：簡介二步認證：https://www.facebook.com/pazukong/photos/a.2007886759444126/2636315873267875/

電腦手機網絡安全（三）：二步認證的驗證因素：https://www.facebook.com/pazukong/photos/a.2007886759444126/2637695243129938/

電腦手機網絡安全（二）：簡介二步認證

文：薯伯伯

前文提過，如果有人取得你的 SIM 卡，可能用這個號碼來重置你的聊天工具、電郵戶口、社交媒體的密碼，所以 SIM 卡最好上鎖。但只是為 SIM 卡上鎖，絕對不足以應付各式情況，因此必須加強戶口本身的安全，其中一個有效的方法，是二步認證。

所謂「二步認證」，即 two-factor authentication，簡稱 2FA，是指登入戶口時，除了要有密碼，還要有其他認證的「因素」，例如額外的密碼、手機短訊，軟件認證、USB 鑰匙等等。

不同的 2FA 認證方式，也有不同的安全級別，以手機短訊最為方便，但也最不安全，這方面要另文再述。在這篇文章裡，還是先以手機短訊的方式，談一下二步認證的具體操作。

WhatsApp 的二步認證：

當你在新手機上安裝 WhatsApp 後，一般的登入方法，是插入 SIM 卡，收到一個短訊，裡面有個六位認證碼，輸入就能登錄 WhatsApp。這個方法過於簡單，很大風險，所以要二步認證。

啟用二步認證後，除了要輸入短訊內的六位認證碼，還要再輸入一個自訂密碼，設置方法如下：

打開 WhatsApp - （右下方）設定 - 帳號 - 雙步驟驗證 - 自己選擇一個六位數字的 PIN，不要用生日日期。考慮輸入一個後備的電郵地址，萬一忘記了 PIN，可以重設戶口。（但如果你百分之百肯定不會忘記 PIN，就不要額外設定復原的電郵地址，因為越多重設的渠道，也就代表越多保安的漏洞。）

Google 戶口的二步認證：

1. 打開 https://myaccount.google.com/
2. 選擇保安或安全（Security），如果用桌面版，在左邊。如果用手機版，則在 Google Account 字樣下方的菜單，要用手指向左掃一掃才能看見。
3. 開啟二步認證。
4. 輸入戶口密碼。
5. 選擇手機短訊的欄目，輸入手機號碼，收到六位認證碼，輸入再確定。

Facebook 的二步認證：

1. 打開 https://www.facebook.com/settings 。
2. 在左邊選擇保安及登入。
3. 選擇「二步認證」，輸入戶口密碼。
4. 在文字訊息一欄，輸入手機號碼，按指示再確認。

Apple ID 的二步認證：

在 iPhone 打開設定 - 點選「你的名字」 - 密碼與保安，再按畫面上的指示去開啟雙重認證。

留意，以上的中文按鍵譯名，在各個版本可能有些出入，但設置上大同小異，不難自行摸索，就不一一細說了。至於服務是否支援二步認證，可以參看這個網站： https://twofactorauth.org/

這篇文章裡提及的二步認證 2FA，均是使用手機短訊方式，但是手機短訊本身也有風險，例如在遠處被人偷取手機短訊的內容，即所謂的「SIM 卡騎劫」。在下一篇文章，我會再分享一下二步認證的其他「因素」，例如軟件認證、USB 鑰匙等。

請記住，煩瑣及保安，有如魚與熊掌，不能兼得。如果你登錄戶口時總是輕鬆自在，往往不是代表方便快捷，只是有保安漏洞，很易被入侵而已。

延伸閱讀：

電腦手機網絡安全（一）：SIM 卡鎖：https://www.facebook.com/pazukong/photos/a.2007886759444126/2634928633406599/
電腦手機網絡安全（二）：簡介二步認證：https://www.facebook.com/pazukong/photos/a.2007886759444126/2636315873267875/
電腦手機網絡安全（三）：二步認證的驗證因素：https://www.facebook.com/pazukong/photos/a.2007886759444126/2637695243129938/

———

照片：前往西藏阿里的路上，當時手機裝了一大堆 apps，現在想來，當中滿是保安隱患及風險。攝於 2018 年 10 月 20 日。

———

* 想追看薯伯伯的文章，請設定本 Page 為「搶先看 / See First」*

Instagram 🥑🥭🍉🍌: pazu

新博客：http://pazu.com/blog

另外還要提一提大家：

【新書速報】Pazu 薯伯伯《不正常旅行研究所》（白卷出版社）——從西藏拉薩到神州大地；由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。

在旺角序言、北角森記、誠品書店及各大書店，均有代售！其中在旺角序言及北角森記，有少量簽名版本。