neti 資安小教室【第1期】資安保鑣——兩步驟驗證

目錄


資安保鑣——兩步驟驗證 

2019 年 netiCRM 就寫過專文介紹:〈兩步驟驗證,駭客防護盾 〉,過去幾個月,我們也不斷透過電子報和FB等管道多次宣導。兩步驟驗證 真的這麼重要嗎?沒錯,說他是資安保鑣也不為過!你也許認為開啟兩步驟驗證很麻煩,但看完這期資安小教室,你會覺得幸好有他~
 

啟用兩步驟驗證的好處

Google強制啟用兩步驟驗證後,帳號遭駭的狀況改善了50%!

近年全球資安事件頻傳,資料外洩已經是常態,為了提升帳號安全性,Google 在 2021 年將全球 1.5 億名 Google 用戶強制改為兩步驟驗證,在這之後,Google 宣布帳號遭駭情形減少 50 %,並表示最終會讓所有 Google 帳號都使用兩步驟驗證。
 

所以 netiCRM 也跟進強制啟用兩步驟驗證了!

台灣在 2021 年時發生了重大資安事件,有數萬筆捐款個資外洩。netiCRM 作為雲端服務提供者, 一直把資安防護視為首要任務,並決定在 2022 年 2 月 10 日強制啟用兩步驟驗證,每一個尚未啟用兩步驟驗證的管理帳號,在登入後將無法使用任何管理功能與瀏覽後台。雖然自此客服接到手軟,但為了大家的資料安全,這是必要之舉。
 

為什麼兩步驟驗證是非常可靠有用的安全措施? 

兩步驟驗證 2-Step Verification (2SV) 又叫作雙重認證 Two-factor authentication (2FA)。一旦啟用 2FA,系統就會用兩種不同的「驗證因素」來確認使用者身分。
 
第一個驗證因素通常是帳號密碼,但駭客購買外洩的密碼資料庫很容易,而且使用者常在多個網站使用同一組帳號密碼,所以其他網站也很容易一起被攻破,只單用帳號密碼這一個驗證因素其實很危險!
 
第二個驗證因素就很多種了,而且通常不是罪犯能輕易取得的資訊或物品,常見範例如下:
  • 發送驗證碼到你的個人手機(個人持有物)
  • 銀行詢問您去年辦理了哪些信用卡、是透過什麼方式繳保險費(個人的隱私資訊)
  • 指紋辨識(個人特徵)
所以只要設定了2FA,壞壞的罪犯即使盜取了你的帳號密碼,也沒辦法直接登入或使用未授權的存取動作,讓你的帳號得到可靠的安全防護!
 

netiCRM 的兩步驟驗證 

netiCRM的兩步驟驗證使用「安全軟體驗證」,雖然比較繁瑣,但保護力比一般的簡訊認證還強哦!
 

設定方式

用戶需要在個人裝置(例如手機)下載安全軟體,並將自己的 netiCRM 管理帳號與其綁定。安全應用程式會產生不斷變化、使用後立即失效的認證碼(又稱一次性密碼One Time Password,簡稱 OTP),未來登入 netiCRM 站台,除了輸入密碼,還需要輸入安全軟體產生的認證碼才能成功登入站台。
 

推薦的安全應用程式

我們建議使用最普遍與易用的 Google Authenticator ,可以在 Google Play 或 App Store 免費下載,設定方式請參考 netiCRM 線上學習手冊 - 首次設定兩步驟驗證
 

備用驗證碼

在啟用帳號的兩步驟驗證時,系統也會提供好幾組備用的驗證碼,作為登入的替代方案,例如當手機不在身邊或手機遺失,無法透過手機取得驗證碼但需要登入系統時,則可使用系統提供的備用碼來登入。
 
完整的說明資訊與常見問題集請參考 netiCRM 線上學習手冊 - 兩步驟驗證
 

為什麼要做 neti 資安小教室? 

netiCRM 一直很重視資安,也不斷強化系統的安全架構和保護,但是這還不夠!我們不斷積極宣導資安概念、推廣兩步驟驗證,是希望讓使用者也建立起資安防護觀念,才不會輕易落入駭客或詐騙的陷阱而造成資料外洩。只有非營利組織與我們一起協力,才能真正保障資料安全!
 
讓我們挺你,用聰明的方法改變世界