有鉴于一般使用者对于Google Auth的认识不足,这边还是提醒一下,Google Auth的
设计是以一组杂凑密码搭配现实世界的时间,每15~60秒运算出6~8位数的随机密码。
以下几点要注意:
1.Google Auth是离线式的设计,如果安装App的装置因故无法取得随机密码,如果没
有保留杂凑密码,只能透过帐号的官方客服去办理解除OTP,如果有保留杂凑密码则
可在新装置的Google Auth重新加入该帐号并产生随机密码。
2.第1点提到,因为Google Auth是离线式设置,更换装置会需要杂凑密码,但是杂凑
密码在第一次设定加入时是以明码的方式呈现给使用者,如果操作系统环境本身就
已经是不干净的情况下,一样会被盗取帐号、密码、杂凑密码,另外有使用者备份
杂凑密码是使用未加密的文字档,例如未加密的word, PDF, txt档案,这样被盗取
的机率也很大。
3.2FA的密码产生方式因为与真实世界时间有关,所以装置的时间不能偏离服务器时间
太多。
4.防毒软件一定要装,现在的攻击行为仍旧需要使用者放行后门软件进入系统,但后门
软件进入系统不一定是来自不知名的档案,例如:英雄联盟更新档,所以务必买一套
防毒软件,如果一套觉得太贵,看看你的角色投资了多少心力,如果不是很懂防毒设
定,推荐芬安全、趋势科技,这两套几乎是安装完后不用设定,有什么问题可以再回
覆或私信问我,有空我会回。
目前有线上式的2FA软件Authy,基础是建立在Google Auth的算法,加上Authy本身的
服务器达成2FA软件跨装置运作查看随机密码,优缺点如下:
优点:
1.跨装置运作,只需要一组主帐号、密码跟同步密码,不用再手动备份杂凑密码转移到
新装置,除非Authy公司倒了。
缺点:
1.因为是使用帐号、密码、同步密码做到跨装置支援,那么就需要无条件相信Authy的资
安能力。
注意事项:
1.使用者常常把主帐号设为过往或常用的帐号与密码,导致被破译。