FIDO-U2F-min

FIDO U2F 2FA 懶人包

有讀者問我 FIDO U2F 2FA 懶人包,我就不如寫一下,如果喺澳洲、加拿大、美國讀者,他們直接向Yubico買比較簡單,我旨在喺做保安推廣,並解釋當中原理。防止中共或黑客亂咁偷電郵或Dropbox密碼,係比較重要。

FIDO U2F 2FA 點解安全

所謂雙因素認證(2 factor authentication,所以簡寫2FA),即係用兩個密碼認證,黑客偷到一個密碼,無另一個密碼都係偷唔到嘢。最初嘅2FA,就真係用兩個自訂密碼,當然人好多時為易記,兩個密碼都好似,好易估到,所以諗到第二個密碼有以下元素,確保安全

1. 只用一次
2. 使用一個程式產生,確保安全
3. 果個程式唔容易被黑客攞到

最初係SMS,用一部獨立主機產生密碼,然後用SMS傳俾你,但呢個方法有幾個問題

1. SMS有機會收唔到
2. SMS由於有delay,密碼必須有幾分鐘甚至半小時壽命,如果有人攞到你主密碼,再諗計攔截你個SMS,都玩完,例如中國電訊公司係國有,你話呢?
3. SMS即係迫你用死一個冧把,唔方便

跟住至有Google Authenticator之類手機軟件,或者銀行網上理財嘅保安編碼器,但銀行保安編碼器無電就會好多問題,而Google Authenticator除咗要面對手機無電嘅問題,手機本身都係可以被入侵嘅器材,如果你手機被黑客入侵,其實都唔會有分別。所以 FIDO U2F 2FA 標準,就直接將有計算結果程式嘅特別加密手指用USB插到電腦,直接同browser連結運行產生同傳送第二密碼,而手機都可以照顧到,因為用係加密咗嘅NFC無線電連結,都係好難偷。而且 USB 同NFC FIDO U2F 2FA 設備唔駛電池,亦拆唔開,所以依家係美國政府接受其中一個保安標準。

但依家好多 FIDO U2F 2FA 器材令我不安,包括Google Titan在內都係中國製造,所以我揀Yubico,因為佢係美國同瑞典製造,佢係貴,但至少製造地點係信得過。如果我純粹要賺錢,我大把嘢賣,但 Yubico 我睇係要確保支持民主嘅人嘅資訊安全,呢個就係我嘅考慮。

2 thoughts on “FIDO U2F 2FA 懶人包

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *