最後更新時間: 2017/3/18

已經啟用 Google 帳戶兩步驟驗證的朋友應該會注意到一件事，在成功啟用兩步驟驗證後，[兩步驟驗證] 頁面中有個 [安全金鑰] 標籤頁的用途為何？

安全金鑰到底有什麼功能？它能為我們的 Google 帳戶提供什麼安全性保護？

FIDO U2F 安全金鑰是一種硬體裝置，設定完畢後，網路服務帳戶的第二步驟驗證會以它為主要驗證方式；這是由帳戶驗證系統與安全金鑰直接溝通進行第二步驟驗證，取代了輸入驗證碼的程序，所以對於想要騙取帳密以及第二步驟驗證碼的偽造的網頁或網站，有非常大的防護力。

一般詐騙偽造網頁取得帳密及第二步驟驗碼，第二步驟驗證碼還有存活時間 (一個隨機的第二步驟驗證碼生命週期為 30 秒)，只要有心人士取得後輸入的夠快 (用程式跑，非人工輸入)，可以立即進入你的 Google 帳戶中。此時改採安全金鑰硬體進行第二步驟驗證，偽造的網頁無法讀取安全金鑰的資料，你也沒地方輸入任何驗證資料；更重要的是，安全金鑰驗證機制會認得能夠進行登入的網站及網頁，人眼會被騙過去的假網址，沒辦法騙過安全金鑰的驗證機制。

既然 FIDO U2F 安全金鑰這麼棒，怎麼網路服務商好像沒有大力推廣呢？

內容目錄

FIDO U2F 安全金鑰的使用限制及優勢

FIDO U2F 安全金鑰是一種開放規格，任何廠商都可以依據此規格製造安全金鑰進行販售；反過來說，不論安全金鑰製造商為何，只要是符合規格的安全金鑰硬體，都可以使用於第二步驟驗證。那為什麼這個新的安全驗證機制，並沒有常聽到呢？阿力獅認為以下原因是主要限制。

安全金鑰的使用限制

首先，多數人對於網路服務帳戶的安全性認知不高，大多還停留在盡量不要將資料儲存在雲端，帳戶被駭了就重新申請之類的認知。既然對於網路服務帳戶的安全性認知這麼低，連啟用兩步驟驗證都覺得麻煩了，要隨身攜帶一個針對帳戶安全的硬體 (雖然長得很像輕薄隨身碟，但真的沒有其他用途)，應該會有很多人嫌煩。
既然 U2F 安全金鑰是硬體裝置，就代表它需要付費購買；一般的兩步驟驗證使用的是個人的手機，算是已經花過錢了，可以隨你使用。為了網路帳戶安全要額外付費購買一項硬體裝置，使用者的接受度一定不高。
- U2F 安全金鑰價格有高有低，全視廠商設計的規格如何。體積小的，多了 NFC 感應功能的，價格都比較高。以阿力獅自己最近添購的 YubiKey NEO 安全金鑰來說，一支要價 50 元美金，因為它支援將來在行動裝置上以 NFC 感應進行登入驗證。
既然安全金鑰要付費取得又要隨身攜帶，而且安全金鑰體積又不大 (有的只有一片拇指指甲大小)，掉了會很傷荷包。
支援這項驗證方式的網路服務帳戶實在還不多，知名的服務中阿力獅知道的有 Google、GitHub 以及 Dropbox，使用範圍受到限制。
安全金鑰大多應用於個人電腦上的身分驗證，而且只能透過 Google Chrome 進行驗證，其他瀏覽器如 Microsoft Edge 以及 Firefox 還在努力整合這項驗證功能中；要在行動裝置上使用安全金鑰進行兩步驟驗證，請參考「在行動裝置上以安全金鑰進行兩步驟驗證登入」這篇文章。
假如你買的 U2F 安全金鑰並不支援藍牙低功耗技術，將來要在行動裝置上使用恐有難度。
- U2F 安全金鑰是採用標準 USB 介面與個人電腦連結，與行動裝置上用的連接埠不同，甚至阿力獅以 Android 裝置常用的 OTG 線材直接把安全金鑰接在 Android 手機上，都無法使用，至少目前的狀況的確如此。
- 阿力獅買的安全金鑰是 YubiKey NEO，想瞭解規格的朋友可以點擊以下圖片連結；我自己就是在美國 Amazon 買的，這支安全金鑰可以用在平版及手機上，前提是那個網路帳號必須支援在行動裝置上使用安全金鑰驗證才行。
  <br />
目前在 U2F 安全金鑰的販售通路大多以國外線上購物網站為主，在港台兩地要購買只能透過網路向國外賣家購買。
- 淘寶也有賣家在賣，假如你確定是真品的話可以購買，支援藍牙低功耗技術的 U2F 安全金鑰價格比不支援的高上許多。

安全金鑰的優勢

雖然目前安全金鑰的使用大多用在個人電腦上，但是無論你的個人電腦廠牌為何、作業系統是哪一個，只要使用的是 Chrome 瀏覽器 40 版以上版本並附有標準 USB 連接埠，都可以使用安全金鑰進行驗證，沒有作業系統及其他硬體限制。
- 除非你的個人電腦只有 USB-C 連接埠，不然一般個人電腦的 USB 標準連接埠都是可以使用安全金鑰的。
  - 越來越多筆電僅有 USB-C 連接埠，但是可以透過轉接線使用安全金鑰。
- 隨著其他瀏覽器的改進與支援，將來一定可以跨瀏覽器進行安全金鑰驗證。
前面說過了，安全金鑰驗證機制可以避開偽造的登入網頁，避免因為人為一時不查被騙去帳密及驗證碼，大幅加強了網路帳戶的安全性。
支援安全金鑰的網路服務帳戶可以用同一支安全金鑰進行註冊，將所有網路帳戶的驗證集中在同一支安全金鑰上，便於管理。

為 Google 帳戶啟用安全金鑰驗證

為 Google 啟用安全金鑰的過程很簡單，但是有幾個必要條件。

要有一把安全金鑰。
安全金鑰的啟用程序必須在個人電腦上的 Chrome 完成，其他瀏覽器暫時沒辦法完成這項工作。
你的個人電腦要有標準 USB 連接埠供安全金鑰與個人電腦連結。
必須先啟用 Google 帳戶的兩步驟驗證，至少要完成啟用驗證碼簡訊。

只要買的到安全金鑰，滿足以上條件後要啟用安全金鑰驗證非常簡單，依照以下步驟一步步完成就可以囉。

進入「我的帳戶」網站後，進入 [兩步驟驗證] 的設定頁，按一下 [安全金鑰] 標籤頁進入設定頁。
在 [安全金鑰] 設定頁中按一下 [新增安全金鑰]。
- 先不要將安全金鑰插至個人電腦上，假如已插上，等會設定時還需要要先移除再插入。
進入 [安全金鑰] 頁面後，先按一下 [註冊]，接下來請依照指示將安全金鑰插入個人電腦的 USB 連接埠中，並按一下安全金鑰上的開關；系統偵測到安全金鑰後，就會完成安全金鑰的註冊。
- 需要留意的是，安全金鑰的開關設計不盡相同，有的是在金鑰尾端設置一個開關按鈕，有的是在金鑰中間有個金色的金屬圓盤可以按一下，你必須自己看一下你那把安全金鑰的說明書。
完成安全金鑰的註冊後，按一下 [完成] 就會看到這把安全金鑰的相關資訊。

假如你還有其他 Google 帳戶也想使用安全金鑰進行兩步驟驗證，請登入想要設定安全金鑰的 Google 帳戶，然後重複以上步驟就可以完成另一個 Google 帳戶的設定。在前面曾經提過，同一支安全金鑰可註冊給不同的 Google 帳戶，而且每個 Google 帳戶的登錄在金鑰裡的資料都不一樣，不必擔心安全性。

Google 帳戶註冊安全金鑰後對登入的影響

在 Google 帳戶裡註冊安全金鑰後，對於登入過程中的第二步驟驗證主要的影響，在於個人電腦上的兩步驟驗證需要填入驗證碼的畫面，會變更為提示你插入安全金鑰，如下圖一般。

請注意，這項兩步驟驗證的變更，僅會套用至個人電腦上的 Google 帳戶登入過程；由於目前行動裝置還不支援安全金鑰的驗證方式，所以安全金鑰設定完畢後，在行動裝置上登入 Google 帳戶一樣採取輸入驗證碼的方式。

那當你因為遺失或忘記隨身攜帶安全金鑰又必須在個人電腦上進行登入該怎麼辦？很簡單，按一下 [兩步驟驗證] 畫面下方的 [嘗試其他登入方式]，你就可以透過其他驗證方式進行登入。

你可以使用備用碼登入，也可以使用驗證碼登入，驗證碼的取得就看你是以哪一種取得驗證碼的方式，反正啟用兩步驟驗證後至少會有接收驗證碼簡訊這個選項。阿力獅建議你無論有沒有設定安全金鑰，把 Google Authenticator 驗證碼產生器也一併設定好，會讓取得兩步驟驗證所需的驗證碼方便些。畢竟接收驗證碼簡訊有時候不是那麼方便，例如你在進行海外差旅時，接收驗證碼簡訊就不是很方便。

移除 Google 帳戶中的安全金鑰驗證

當你不想在 Google 帳戶中繼續使用安全金鑰驗證，或是安全金鑰遺失時，你可以將與 Google 帳戶裡註冊的安全金鑰移除。

請先進入「我的帳戶」網站，然後進入 [兩步驟驗證] 的 [安全金鑰] 設定頁，按一下 [管理]。
在安全金鑰管理頁面中，你會看到所有註冊給這個 Google 帳戶的安全金鑰的資料，按一下要移除的安全金鑰旁的 [刪除] (垃圾桶圖示)。
- 新增新的安全金鑰與移除安全金鑰都在這個管理頁面中。
- 同一個 Google 帳戶可以註冊多支安全金鑰，當你這麼做時，請加強對安全金鑰的保管。
- 假如你的 Google 帳戶註冊了多支安全金鑰，要刪除時請確認你要刪除的安全金鑰是哪一支。
在提示訊息畫面中按一下 [確認]，就能移除與這個 Google 帳戶關聯的安全金鑰。

要註冊安全金鑰，一定要啟用兩步驟驗證；所以在你移除帳戶中的安全金鑰後，帳戶登入會恢復成一般的兩步驟驗證 (驗證碼驗證)，並不會停用你原先的兩步驟驗證。此外，從帳戶中移除關連性的安全金鑰可以重新註冊，並不會之後就不讓你用同一支安全金鑰註冊。

結語

使用安全金鑰進行驗證，雖然目前仍有諸多限制，但是這種新的兩步驟驗證機制的確比輸入驗證碼更加安全；安全金鑰驗證對於透過社交工程進行騙取帳密及驗證碼的網站，也提供了如金鐘罩般的保護。阿力獅期待安全金鑰驗證的普及，也希望硬體價格可以更親民一點，讓大家可以有機會嘗試使用這項安全性更高的帳戶保全驗證機制。

假如你剛好也是安全金鑰的使用者，歡迎一起討論喔。

分享這篇內容