Duo Two-Factor Authentication 是一種提供兩步驟驗證的服務, 它和其它兩步驟驗證服務不同的地方是它除了能發送登入請求之外, 另外還有接聽系統的來電的方式, 或是用簡訊寄送驗證密碼等三種驗證機制. 登入請求是在登入網站時, 輸入個人的帳號密碼後, 系統會推送登入的驗證訊息到個人的手機上, 這時只需要選取是或否即可, 是種非常快速的驗證機制. 而接聽電話和簡訊方式則需要付一點少少的費用.
什麼是兩步驟驗證登入?
兩步驟驗證登入是目前各大網站普遍用來保護使用者, 降低帳號被盜取的兩段式登入機制, 其原理是當使用者登入網站時, 除了需要輸入帳號和密碼的傳統方式之外, 接著還需要再輸入手機中的 APP 所演算的密碼的一種雙重身份驗證, 較大型的網站如 Google、Facebook、Twitter 等幾乎都已經把兩步驟驗證登入當作是防護帳號的標準配備了, 另外 WordPress.com 所提供的兩步驟驗證登入, 就是採用 Google Authenticator 的雙重驗證, 其它還有我之前介紹過的 Clef 也是一種兩步驟驗證登入的服務。
Duo Two-Factor Authentication
Duo Security 提供的兩步驟驗證能安裝在許多平台上, 該服務所觸及的範圍廣大, 連 WordPress , Drupal 等平台都有提供服務. 在手機驗證 APP 方面, 支援平台有 iOS、Android、BlackBerry、Windows Phone 7、Palm、Windows Mobile、J2ME 、 Symbian, 幾乎是全包沒有任何一項被忽略, 由此可見 Duo Security 的野心極大, 對吧?
如何在 WordPress 上安裝?
申請 Duo Security 帳號
1) 首先到 Duo Security 官網上申請一個帳號 signup.duosecurity.com
2) 在填表步驟二時, 表單上會問你要防護什麼平台時, 點選CMS
3) 提交資料後, Duo Security 會寄一封驗證信到註冊的信箱中, 點擊驗證信中的帳號啟用連結
4) 轉跳至帳號設定畫面, 在這個步驟中也要設置要綁定的手機號碼, 填完後點選 SMS 後會收到一組登入碼
5) 登入帳號後可在左邊工具點選 Integrations > + New Integration
6) Integration Type > WordPress > Create Integration
7) 系統會提供 Integration Key、Secret Key、API hostname 共三組字碼
安裝 Duo Two-Factor Authentication
1) 下載並安裝外掛 : wordpress.org/plugins/duo-wordpress
2) 啟用後進入設定畫面, 填入剛剛得到的 Integration Key、Secret Key、API hostname
安裝手機兩步驟驗證 APP
1) 輸入完上敘資料後再重新登入, 開始設定 Duo Two-Factor Authentication
2) 選擇要使用何種方式驗證, 推薦是使用手機驗證
3) 輸入你的手機號碼, 這邊要選台灣 & +886
4) 選擇你的手機系統
5) 安裝 DUO 的手機 App, 以 iOS 為例 > 開啟 App Store > 搜尋並安裝 “Duo Mobile” > 安裝完後按下確認
6) 啟用 Duo Mobile > 按下 App 畫面中右上方的 + 號 > 拍攝畫面中的 QR Code 後再按下確認
7) 最後就會出現成功綁定手機驗證的畫面
總結
在全部設定都沒問題之後, 你的 WordPress 就能開始使用雙重驗證的防護機制, 之後不再需要擔心帳號會被暴力破解, 因為對方沒有你的手機, 所以就算能破解也無法通過兩步驟的驗證. 若想在其它平台上安裝 Duo Two-Factor Authentication, 或者還需要更詳細的設定資料, 可參考 Duo 的官方設定文件.