【教學】駭客退散！幣圈必備神器Authy人性化超越Google Authenticator提高帳戶安全性 | 老貓測3C

在這個資安越來越重要的年代，保護個人帳戶安全比什麼都重要，有越來越多網站都發生過資料庫被駭，因為各大科技龍頭 Apple、Google、Facebook、微軟也都推出了雙重驗證機制(Two-Factor Authentication，簡稱 2FA)，像是Apple因為itunes綁定信用卡的關係，如果帳戶資料被盜，就間接造成信用卡盜刷危機，因此也早就推出雙重認證，來保護客戶的資產安全，Facebook帳戶被盜也是時有所聞，使用雙重認證就可以大大降低帳戶被盜的機率，雙重認證的做法有很多種，常見的有簡訊通知做二次驗證，或是使用特定裝置上的動態密碼，來做雙重認證，常見的有銀行給予的OTP(一次性密碼)裝置，而我們要介紹的是使用App做雙重認證基礎教學。

簡訊(SMS)認證其實不安全

一般我們常接觸到的手機簡訊(SMS)雙重認證，其實不安全，大家應該都有經驗，在使用網路銀行做轉帳時，有些銀行會傳送簡訊要求再次輸入簡訊密碼，以確認是否為本人操作的轉帳行為，其實使用手機簡訊驗證是現在最方便也最簡單的方式，驗證成本極低也不需要額外裝置，因為出門可能會忘了帶錢包、鑰匙但不太可能忘記帶手機，所以對使用者也是非常便利，但在2017年的資安大會中，美國國家標準技術研究所(NIST)，就提出建議企業不要再透過電信系統，包含簡訊和電話語音的方式，執行雙重認證，Datablink亞太區行銷副總裁Lawrence Ang在議程中指出，企業透過手機簡訊提供進階身分驗證使用的一次性密碼（OTP）固然方便，但從2010年首次發現駭客針對行動電話而來的中間人攻擊之後，這種手法便層出不窮，2016年甚至在俄國和巴西等地，已有駭客直接銷售木馬攻擊套件，代表性的惡意攻擊程式是Android.Bankosy。

App認證安全性更高

雖然目前使用手機App的作為雙重認證的比例還不高，銀行停留在提供一個可以產生OTP(一次性密碼)的裝置，透過使用裝置達到雙重認證，但這樣子裝置就必須隨身攜帶，才能隨時使用，由於智慧型手機的普及，現代人手機不離身，未來將會是雙重認證的主流，因為App雙重認證的安全性更加的高，而且不需額外再攜帶一個裝置優點，讓使用App做雙重認證成為一個趨勢，講到App驗證一般會想到的就是Google Authenticator，很多使用App做雙重認證的網站都會建議你使用，Google Authenticator，但在這裡我推薦使用Authy，這個App的功能更加強大且親民。

Authy勝出的關鍵，人性化

隨著近年來越來越多的線上服務，使用App做雙重認證，開始會慢慢發覺Google Authenticator的不足，有接觸加密貨幣的人，對Google Authenticator應該都不陌生，大部分的交易所都使用Google Authenticator做雙重認證，但它有一個很致命的缺陷，就是無法做備份，針對誤刪帳戶，以及當手機遺失、故障、或換新手機時這些狀況，都會造成很大的不便，不僅無法登入，還必需一個一個服務去申請停用，由於缺少雙重認證無法正常登入帳戶，就必需準備一堆文件證明自己是帳戶所有人，真是曠日費時，加密貨幣市場分秒必爭，等待長久的審核恢復2FA，會錯失很多獲利的機會，一個帳戶就這麼費時了，日後提高資安，保護客戶資產安全，是必然的趨勢，那麼雙重認證普及之後很難想像，要多花多久時間處理，上述狀況，因為你擁有的帳戶不只一個。(老實說Google Authenticator在設定完成時，會提供一組密碼，必須將這組密碼記牢，以防手機遺失、故障、或換新手機時這些突發狀況發生時，恢復權限使用，但我個人很容易忘記，偏偏這時候又沒有提供忘記密碼的功能，真的不太人性化)

Authy可以取代Google Authenticator

雖然市面上使用雙重驗證2FA時，都會跑出Google Authenticator，但這並不代表你只能使用Google Authenticator這個App，目前所有支援Google Authenticator的服務，都可以使用Authy來取代，使用Authy最大的好處就是，Authy支援多平台多裝置，可以同時使用(手機、電腦、平板)，自動雲端備分，可以設定兩個裝置以上，這樣就不會有手機遺失，導致無法登入帳戶的窘境出現了，而且在不小心刪除某個2FA帳號時，都可以在48小時內復原，雖然Authy沒有中文介面，但跟著下面的教學文，你也可以輕鬆學會。

【Authy】官網

Authy安裝教學

進入官網後，可以在右上角的DOWNLOAD，下載所需要的版本，目前支援的有

• Android
• IOS
• Mac
• Windows
• Chrome

手機APP部分可以直接去App store or Google play 搜尋 Authy直接下載，然後開始設定，首先填寫國家代碼，以及手機號碼，接著給予註冊用的mail。

選擇驗證方式，語音或簡訊SMS，這裡選擇右邊的SMS簡訊認證會比較方便，接著就會收到註冊驗證碼，在打開App時輸入就算是驗證成功，正式啟用了，首次登入時需設定登入密碼，但有一個最重要的就是設定備份密碼，這可以協助手機遺失時將所有的資料都備份回來。

• 同步功能：除了備份功能外，Authy的同步功能也很強大，只需要一個裝置綁定雙重認證2FA，即可同步到其他裝置上，少了這個功能，每個2FA帳戶可能會需要綁定好幾次，取決於你有多少裝置。

但如果備份密碼忘記時該怎麼辦？這不就跟Google Authenticator遇到一樣的狀況嗎？這點不需要擔心，因為Authy可以支援多裝置，建議在啟用後馬上新增另一個裝置，比如說筆電或另外一支備用手機，這樣子手機遺失，也忘了備份密碼一樣可以繼續使用，所以安裝完Authy並啟用後，最重要的步驟就是開啟多重裝置登入功能，可以在APP的右上角進入設定畫面，接著選擇右下角的裝置，進入後將Allow Multi device開啟，如下圖我個人就安裝了三個裝置，手機、筆電、Chrome。

Authy在使用上，跟一般的雙重認證2FA沒有不同，在新增帳戶時可以選擇直接掃描QR code或是手動輸入去新增帳戶，以下為示意圖。

新增成功後，就可以在App裡看見帳戶了，而OTP(一次性密碼)為30秒自動更新一次。

另外有幾個貼心的小地方，就是可以自訂帳戶名稱以及圖示，系統會自動載入網站的圖片，如果抓不到則是使用，鑰匙的圖示表示，也可以使用搜尋的功能，去尋找對的圖示，一樣需要前往設定，選擇中間 Account，點選想要變更的帳戶，就可以做更改了，更改完後就可以得到美美的圖示了。

真心建議幣圈的朋友，趕快加入Authy的行列，以免整天擔心害怕手機遺失或故障的慘事發生，相信有參與加密貨幣領域的朋友，手上有個5家以上交易所帳戶是很平常的事情，想想要是遺失手機，要補辦5家交易所的雙重認證是多麼痛苦的事情，因為不能進入帳戶，所以你必須準備一堆文件來證明這個帳戶是你所擁有的，趕快來遠離這個惡夢吧！

針對已經使用Google Authenticator在各大服務或交易所做雙重認證2FA的用戶，只需要去各大交易所解除雙重認證2FA，並且再次使用雙重認證2FA，在再次使用時請使用Authy做綁定即可，各大交易所或服務，基本上的流程都大同小異。

我目前使用Authy做2FA的交易所如下

ACE交易所
Bitopro交易所
MAX交易所
Bitfinex交易所
Bitmax交易所
Pionex交易所
FTX交易所

歡迎加入我的社團，追蹤最新資訊，一起討論。
→賈許的數位知識分享-區塊經濟-金融科技-數位行銷