Pazu 薯伯伯

Pazu 薯伯伯

旅遊寫作人,為最早一批在網上連載遊記的香港人,多年來足迹遍佈歐、亞多國,在喜馬拉雅山麓、東南亞、南亞等地區生活。著有《風轉西藏》、《北韓迷宮》、《西藏西人西事》及《不正常旅行研究所》,分別在香港、北京及首爾出版。作者 Facebook:https://www.fb.com/pazukong;網誌:https://pazu.com/blog;Pazu 兒歌網:https://www.pazu.com;相集:https://www.instagram.com/pazu;Patreon 頻道:https://www.patreon.com/pazu

2020/9/8 - 8:37

零基資安訓練營(十七):利用硬件安全鑰匙,鑄造最強勁的 Gmail 保安級別

圖片來源:作者 Patreon

圖片來源:作者 Patreon

如果只給我三分鐘時間,要馬上加強用戶的網絡保安,我會毫不猶豫要求對方做一件事 — 啟動雙重認證(二步認證),英文叫 2-factor authentication,簡稱 2FA。

所謂雙重認證,就是在登入任何戶口時,除了要輸入用戶名及密碼外,還要加一個額外因素,例如手機短訊驗證碼、軟件動態密碼,又或是硬件安全鑰匙。當中又以硬件安全鑰匙最為安全,最難被仿冒,以及最省時間。

這篇文章主要討論兩點:硬件安全鑰匙的應用,以及如果利用兩條安全鑰匙,鑄造最強勁的 Gmail 保安級別。

廣告

硬件安全鑰匙

先說硬件安全鑰匙,安全鑰匙在坊間主要有兩個牌子(不計電子錢包),生產商分別是瑞典的 Yubico 及北京的 Feitian(飛天)。飛天獲得不少國家認證及讚許,官方對其安全產品及科技成就予以高度的認可及肯定,目前並沒有證據顯示這家公司的產品有後門或安全漏洞 —

— 所以我選用瑞典的 Yubico。

Google 在早期的安全鑰匙,是透過北京飛天公司製作,我認為這是荒謬可笑的錯誤決定,亦引來太多無謂揣測,Google 似乎也意識到問題(或注意到網上的評論),在 2019 年 10 月改為與瑞典 Yubico 合作。

使用硬件安全鑰匙最大的好處,是能有效縮短雙重認證的時間。比較三個常用雙重認證使用方式,假設都是在電腦登入 Gmail,然後做雙重認證。

  • 場景一:接收 SMS 短訊:有時網絡塞車,接收訊息很慢,在外地時更是麻煩,大概需要花上 25 秒。
  • 場景二:使用軟件密碼生成器(例如 Google Authenticator 或 Twilio Authy):打開手機,打開 app,再把六位數的動態密碼輸入至網站,大概要花上 20 秒。
  • 場景三:使用硬件安全鑰匙:直接插入 USB,摸一摸金屬環,即能登入。只需要少於 10 秒時間。如果你評估過覺得使用電腦的環境安全,甚至可以把一條安全鑰匙長期插在電腦上,進一步縮短認證時間,我每次大概花 5 秒時間即能完成雙重認證。

省下這十多秒有甚麼用呢?由於我不建議戶口長期處於登入狀態,我的瀏覽器是設定為每次關閉瀏覽器,都會自動登出所有戶口。我每次用電腦查看電郵,都必須要做一次登入的過程,如果一天登入五次帳號,用一個更有效率的方法去做雙重認證,對我來說是很重要。把雙重認證的過程變得順暢,亦能更易把雙重認證變成生活一部份。(提一句,如果你發覺你的戶口一直處於登入狀態,很久沒有做過「登入」這個過程,我覺得這是一個非常壞的習慣,要改喇!)

另外以前寫文介紹硬件安全鑰匙,經常有人問一個問題,我也不太明白為甚麼讀者會有這個想法,但在這裡也特別寫出來,供大家參考。

問:若果我的硬件安全鑰匙被盜,他們是不是可以直接登入我的戶口?答:當然不是,因為硬件鑰匙只是雙重認證的一個因素,還要你本身的密碼才能登入戶口。


Google 的「進階保護計劃」(Advanced Protection Program)

Google 提供的戶口保安級別,主要有三種類型:

  • 最低層級:只靠一組密碼做登入,坊間被入侵的戶口,多數是因為只靠一組密碼把關,而這些密碼,往往又跟其他網站共用,早已洩漏,很易被入侵。
  • 中等層級:只用較為簡單的雙重認證方式,例如手機短訊驗證碼、軟件動態密碼。對任何人,最起碼的保安,應該要達至這一級別,我甚至認為這個層級的保安應該要強制實行。
  • 最高層級:Google 提供最高級別的保安層級,叫做「進階保護計劃」(Advanced Protection Program),只能用硬鍵鑰匙來做雙重認證的因素。按 Google 的建議,如果你是受針對的高危對象,例如記者、民運人士、商界領袖以及政治選舉團隊,都應考慮啟動這個保安層級。

我之前擔心「進階保護計劃」會影響正常使用,沒有大肆推廣,但這幾個月我一直用「進階保護計劃」,在電腦及手機上的操作也大致正常,覺得身份敏感的人,不妨認真考慮是否採用這個等級。

來吧,就讓我們一起手拉著手,一步一步教大家鑄造最強大的谷歌保安級別。

需要的材料:

👉 兩條(或以上)的硬件安全鑰匙,我建議電腦配備一條,手機配備一條,另加一條最便宜的鑰匙放在非同居朋友的家中做後備。

👉 預計購買硬件安全鑰匙 Yubikey 的成本:每條安全鑰匙的價錢約為 HK$160-HK$550 不等。建議要在官方核准的渠道購買,而不要經任何代購網站,買回來之後亦要檢查包裝是否完整,確保中間沒有被人竄改。

Yubico 的官方網址是:https://www.yubico.com/support/shipping-and-buying-information/resellers/

輸入 Hong Kong,香港目前只有一間代理商:

Netmon Information Systems 

其中文地址是:觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。電話是 25272086。建議在辦公時間先打電話去查詢存貨量。

設置「進階保護計劃」的方法不複雜,先到以下網址:https://landing.google.com/advancedprotection/

跟著相關指示,分別插入及認證合共兩條安全鑰匙。

之後再到:https://myaccount.google.com/signinoptions/two-step-verification/

選擇「新增安全密鑰」,再加入第三條安全鑰匙做後備。

啟動高級保護計劃,雖然只需要兩條安全鑰匙,但為免自己兩條鑰匙一次過全都丟失,舉個例子,對不少用戶而言,很大機會這兩條鑰匙是放在同一空間,萬一遇正火災,水浸,又或者被狗咬。有網民說他的 Yubikey 被狗吞食了,但在大便中找回,洗乾淨後仍然能正常使用。不過為免麻煩,我建議加一條鑰匙,作終極的後備,並把這條後備鑰匙放在他人家中,以策安全。

 

作者 Patreon