在這個系列的最後一篇當中,我們將為你展示如何用雙因子認證保護你的線上賬戶。
到目前為止,本系列教學已經提供了 PGP 的實用指南,包括基本概念和工具、生成和保護你的金鑰的步驟。如果你錯過了前面的文章,可以通過下面的連結檢視。在本系列的最後一篇文章中,我們將為你保護線上帳戶提供一個額外的指南,保護線上帳戶是當今非常重要的一件事情。
你可能注意到,很多線上開發者身份是綑綁了 email 地址的。如果有人能夠存取你的郵箱,他們就能夠去做一些對你會產生危害的事情,進而會損害你作為自由軟體開發者的聲譽。應該像保護你的 PGP 金鑰那樣保護你的 email 地址。
雙因子認證 是一種提升帳戶安全性的機制,它除了要求使用者名稱和密碼之外,還要求一個物理令牌。它的目標是即便在有人竊取了你的密碼(通過按鍵記錄器、肩窺攻擊或其它方式)的情況下,仍然能確保你的帳戶安全,他們在沒有得到你的一個專用的物理裝置(“必備”的那個因子)的情況下,始終不能獲取你的帳戶。
廣為人知的雙因子認證機制有:
基於 SMS 的驗證很容易設定,但是它有如下的缺點:它在沒有手機信號的地方無法使用(比如,建築物的地下室),並且如果攻擊者能夠阻斷或轉向 SMS 資訊,這種方式可能就會失敗,比如通過克隆你的 SIM 卡。
基於 TOTP 的多因子認證提供了比 SMS 更好的安全保護,但它也有一些重要的缺點(你要在智慧手機中新增的那麼多令牌中找到正確的那個)。此外,還不能避免一個事實,那就是你的金鑰最終還是儲存在你的智慧手機中 —— 它是一個複雜的、全球連線的裝置,它有可能還沒有及時從製造商那兒收到安全修補程式。
更重要的是,不論是使用 TOTP 還是 SMS 的方法來保護你免受誘騙攻擊 —— 如果誘騙攻擊者能夠竊取你的帳戶密碼和雙因子令牌,他們就可以在合法的站點上使用它們,存取你的帳戶。
Fido U2F 是一個按標準開發的專用裝置,它能夠提供雙因子認證機制來對付誘騙攻擊。U2F 協定在 USB 令牌中儲存每個站點的的唯一金鑰,如果你在任何合法站點以外的地方嘗試使用它,它將阻止你,以防範偶然讓攻擊者獲得你的密碼和一次性令牌。
Chrome 和 Firefox 都支援 U2F 雙因子認證,希望其它瀏覽器也能夠提供對 U2F 的支援。
支援 U2F 的硬體令牌的 可選目標很多,但如果你已經訂購了一個支援智慧卡的物理裝置,那麼你最好的選擇就是 Yubikey 4,它兩者都支援。
你要確定想啟用雙因子認證的線上賬戶,你的 email 提供商已經使用了(特別是 Google,它對 U2F 的支援非常好)。其它的站點這個功能應該是啟用了:
許多站點都允許你設定多個雙因子認證機制,推薦的設定是:
通過這種方式,即便你丟失了你的 U2F 令牌,你仍然能夠重新獲取對你的帳戶的存取。或者,你可以註冊多個 U2F 令牌(即:你可以用一個便宜的令牌僅用它做 U2F,並且將它用作備份)。
到目前為止,你已經完成了下列的重要任務:
在安全保護方面,你已經做的很好了,但是你還應該去閱讀以下的主題: