在瀏覽器上使用OTP解鎖 - 仙境傳說

有鑑於一般使用者對於Google Auth的認識不足，這邊還是提醒一下，Google Auth的
設計是以一組雜湊密碼搭配現實世界的時間，每15~60秒運算出6~8位數的隨機密碼。
以下幾點要注意：
1.Google Auth是離線式的設計，如果安裝App的裝置因故無法取得隨機密碼，如果沒
有保留雜湊密碼，只能透過帳號的官方客服去辦理解除OTP，如果有保留雜湊密碼則
可在新裝置的Google Auth重新加入該帳號並產生隨機密碼。
2.第1點提到，因為Google Auth是離線式設置，更換裝置會需要雜湊密碼，但是雜湊
密碼在第一次設定加入時是以明碼的方式呈現給使用者，如果操作系統環境本身就
已經是不乾淨的情況下，一樣會被盜取帳號、密碼、雜湊密碼，另外有使用者備份
雜湊密碼是使用未加密的文字檔，例如未加密的word, PDF, txt檔案，這樣被盜取
的機率也很大。
3.2FA的密碼產生方式因為與真實世界時間有關，所以裝置的時間不能偏離伺服器時間
太多。
4.防毒軟體一定要裝，現在的攻擊行為仍舊需要使用者放行後門軟體進入系統，但後門
軟體進入系統不一定是來自不知名的檔案，例如：英雄聯盟更新檔，所以務必買一套
防毒軟體，如果一套覺得太貴，看看你的角色投資了多少心力，如果不是很懂防毒設
定，推薦芬安全、趨勢科技，這兩套幾乎是安裝完後不用設定，有甚麼問題可以再回
覆或私信問我，有空我會回。

目前有線上式的2FA軟體Authy，基礎是建立在Google Auth的演算法，加上Authy本身的
伺服器達成2FA軟體跨裝置運作查看隨機密碼，優缺點如下：
優點：
1.跨裝置運作，只需要一組主帳號、密碼跟同步密碼，不用再手動備份雜湊密碼轉移到
新裝置，除非Authy公司倒了。
缺點：
1.因為是使用帳號、密碼、同步密碼做到跨裝置支援，那麼就需要無條件相信Authy的資
安能力。
注意事項：
1.使用者常常把主帳號設為過往或常用的帳號與密碼，導致被破譯。

--