最後更新時間: 2018/2/26

越來越多的網路服務帳號支援兩步驟驗證，藉以提升帳戶的安全性，以阿力獅自己為例，我使用的任何網路服務帳號有提供了兩步驟驗證的話，我一定都會啟用，這可以大幅降低帳號被入侵的風險。

那你有沒有想過，假如用來產生驗證碼或接收驗證碼的手機、或是安全金鑰遺失了，撿到的人就可以輕易登入或入侵你的網路帳號嗎？

兩步驟驗證常見的類型

兩步驟驗證有許多種方式可以達成，以下為各位簡單說明一下常見的驗證方式。

• 透過電話接收驗證碼: 這種方式不一定要用到手機，因為有些網路服務提供以語音方式 (用說的，使用合成語音) 傳送驗證碼，這時使用市話也可以，但不是每個網路服務都提供以市話接收驗證碼的方式。
  以電話接收驗證碼也是兩步驟驗證的最基本方式，大多數的兩步驟驗證一定提供這種驗證方式，而且是列為啟用兩步驟驗證的必要條件；也就是說，大多數的兩步驟驗證要啟用，都必須提供電話號碼。
• 透過電子郵件傳送驗證碼: 透過電子郵件傳送驗證碼，通常必須要登錄一個額外的電子郵件信箱，也就是你使用了 A 電子信箱當做登入帳號，你必須登錄一個額外的 B 電子郵件當做接收驗證碼的信箱。
  這種方式越來越少見，因為另一個電子信箱也可能受到它自己的兩步驟驗證機制保護，要存取不是那麼方便直接與快速。
• 透過驗證碼產生器產生驗證碼: 假如網路服務的驗證碼是以 OTP 協定產生的，那應該可以在行動裝置上安裝驗證碼產生器應用程式，例如 Google Authenticator 或是其他支援 OTP 協定的應用程式來產生驗證碼。有些銀行的網銀帳戶在登入時，除了需要帳密之外再輸入驗證碼，有些銀行會提供硬體裝置產生驗證碼，就是類似下圖中的裝置。
  
  有些網路遊戲帳號也是用類似的硬體裝置提高帳號安全性。
  這種方式最便利，但是需要一部行動裝置或使用實體驗證碼產生器；阿力獅建議最好是使用智慧型手機，因為這樣才能隨身攜帶。正因為可以隨身攜帶的緣故，這也是最讓使用者擔心「裝置遺失時該怎麼辦」的兩步驟驗證方式。
• 透過安全金鑰進行驗證: 阿力獅曾經在「[How-To] 如何啟用 Google 帳戶的安全金鑰驗證」介紹過這種硬體裝置的驗證及設定方式，目前僅有少數的網路服務提供安全金鑰進行兩步驟驗證，而且多數的安全金鑰無法使用於行動裝置，受限較多，但安全金鑰的確是安全性相當高的驗證方式。阿力獅使用的是具備 NFC 功能的安全金鑰，將來可以使用於具備 NFC 感應功能的 Android 手機上，但是價格較高。阿力獅已經看過網路帳號使用具備 NFC 功能的安全金鑰在 Android 手機上進行兩步驟驗證，真的很不錯。假如你考慮使用安全金鑰進行兩步驟驗證，請考慮購買具備 NFC 功能的安全金鑰。
  

這篇只針對 Google 帳戶進行說明嗎

不是的！

只要是提供兩步驟驗證的網路服務帳號，這篇文章的說明都適用。

負責兩步驟驗證的裝置遺失時，拾獲的人能登入你的帳戶嗎

先說結論，裝置拾獲者可以對你的網路帳號進行有限度的操作，但是在大多數的狀況下無法取得登入你的網路帳號並取得帳號所有權。

會有這樣的結論，主要是因為行動裝置上的應用程式 (App) 以及在所有裝置上的網頁登入行為在登入設計以及變更帳號的機制上有很大的不同。

• 行動裝置上的應用程式 (App): 行動裝置上 (智慧型手機或平板) 的 App 為了讓你一開啟就能使用，無論你採用的是不是兩步驟驗證，只要完成登入程序，以後這個 App 就可以直接存取服務帳戶內的所有資料，例如 Gmail、Facebook 以及 Dropbox 都是如此。為了怕意外狀況的發生，這些網路服務的應用程式 (App) 本身都無法對帳號本身進行任何重大變更；舉例來說，你無法在帳號已登入的 App 中無法進行密碼變更，當然撿到你裝置的人也不行。
  有考慮到安全性的 App，都不會設計出在帳號登入成功後變更密碼的機制。
• 在行動裝置或個人電腦上以瀏覽器登入網路服務網站: 無論你使用的網路服務是不是採用兩步驟驗證保護，即使登入後再次存取服務時可以省去登入步驟，但在進行帳號的重大變更時，有良好安全性設計的網路服務，應該會要求再次輸入密碼。舉例來說，即使你用瀏覽器登入 Google 服務並通過兩步驟驗證，且將裝置設定成「收信任的電腦」，當你要在「我的帳戶」或「Google 付款中心」進行任何操作或變更，都至少要再輸入一次密碼才有辦法進行喔。因為這兩個網站，一個負責了 Google 帳戶的所有設定，一個是負責付款，都是重大操作。

我們再配合下圖，你會更清楚。

從上圖中可以得知在啟用兩步驟驗證之後，每次登入都需要湊齊「帳戶、密碼、驗證碼」三個要素，而且都必須完全正確才有辦法完成登入；在大多數的狀況下，拾獲你裝置的人或許可以知道你的帳號，卻無法得知你的密碼，所以他無法登入你的網路帳號取得所有權。

接下來阿力獅以 Facebook 來做為範例進行說明。

當你用於兩步驟驗證的裝置 (通常是智慧型手機) 遺失時，拾獲的人可以透過裝置上已完成登入的 Facebook 網路服務的 App 以你的名義發表貼文、按讚、檢視或修改你的個人資料，但是無法在 Facebook 應用程式 (App) 裡對你的 Facebook 進行帳號重大變更，例如變更 Facebook 密碼或刪除 Facebook 帳號。

假如這位拾獲你裝置的人想使用瀏覽器登入你的 Facebook 帳號進行更進一步的帳號入侵，雖然驗證碼產生器或手機在他手上，即使他知道你的 Facebook 帳號 (這個比較容易知道)，但是由於他無法得知你的登入密碼，所以即使他有驗證碼也沒用；因為要帳號密碼都正確，才能進入第二步驟驗證，然後才輸入驗證碼完成登入，而 Facebook 帳號的密碼是裝置拾獲者無法得知的。

例外狀況

雖說裝置遺失時，拾獲者最多只能對你的裝置進行有限度的操作，在大多數的狀況下無法取得你的帳號所有權，但是有幾個情況是例外。

• 網路帳號的密碼設定的太簡單，或是跟你的個資很有關聯導致很好猜中，這時候第二步驟驗證關鍵裝置在他手上，猜中密碼後馬上就可以登入帳號內。
• 你的裝置不是遺失，而是被帶有特地目的的人偷走；這種人通常很可能事前已經想辦法知道你的密碼，所以取得能獲取驗證碼的裝置後，他自然能取得你的帳號所有權。

無論是怎樣的例外狀況，都可以透過以下的行動將損失或傷害降到最低。

當行動裝置遺失時，你該採取的行動

從前文可以得知，拾獲者雖然通常無法取得你的網路帳號所有權，但是他仍可透過你在裝置上已完成登入的應用程式進行許多你不會希望別人代勞的操作。無論你有沒有為你的網路服務帳號啟用兩步驟驗證，當你的行動裝置遺失後，至少以下兩件事是一定要馬上在最短時間內完成的。

• 無論裝置找不找的回來，第一時間都先使用遠端管理工具將行動裝置鎖定或清除所有資料。
  • Android 裝置: 使用「Android 裝置管理員」就可以進行這些遠端操作。
  • iOS 裝置: 使用「尋找我的 iPhone」進行遠端操作。
• 假如遺失的裝置內有連線用的 SIM 卡，記得在最短時間內將 SIM 卡停用。

未雨稠繆，防範意外於未然，阿力獅建議你在還沒發生任何事情前先參考「啟用 Google 帳戶兩步驟驗證後，手機或驗證器遺失了怎麼辦」這篇文章，裡面有更詳盡的解說。

結語

不要輕忽網路帳號的安全性，但是也不要因為任何意外會帶來的風險而提心吊膽，只要你有正確的觀念及知識，所有的損失都會降到最低。阿力獅會寫這篇文章，是因為之前看到 Google Play 商店上有使用者對「Microsoft 帳戶」這個 App (已由新 App「Microsoft Authenticator」取代) 留下錯誤的評論。

兩步驟驗證並沒有那麼脆弱，啟用兩步驟驗證後登入要湊齊三要素；對一個拾獲手機的不特定人士來說，一般來說他頂多只能知道你的帳號，無法得知密碼，所以在進行登入嘗試時，連第一道關卡都無法通過。

啟用兩步驟驗證才是保護網路帳號的不二法門，甚至掉了驗證器也不必太擔心；假如手機遺失了，採取正確的行動如遠端鎖定手機或遠端刪除手機資料，自然就能保護帳號及帳號內的資料。