[Drama] 2FA：Authy官網介紹文閱讀心得

這篇是我們在啟動2FA/雙重認證的時候，遭遇了戲劇型災難（Drama），讓一件很簡單的事情，作了好幾天才完成。簡單寫起來，我們在這場不幸中學到的新知，如果可以對大家有幫助是最好不過了。

第一篇：甚麼是2FA？(點連過去)

官網就是因為是要鼓勵大家使用自己的服務，所以在介紹觀念或服務內容的時候會用平易近人的方式，甚至還會激發訪客的學習動機，這篇就是很好的例子，綱要清晰、易讀易懂。

一開始解釋 為甚麼有密碼還不夠？ 的時候，就用了非常日常的原因，我們那時候因為竟然操作失敗心灰意冷，滿腦滿頭都是沉重的黑雲，很怕等下又要再遇到閃電，但看到官網這麼寫，心情就開始往開朗的方向移動。（不然就已經在慘了，誰會想在整串的英文字裡找到方向？）（但會去找來看，確實是認為自己在觀念上不夠清楚）

三個原因：人類的記性就是很糟、太多帳戶、對網路帳密安全已經感到疲倦或倦怠（如果沒有變成所有帳戶都改用一組太簡單的密碼，就是會在一個地方把自己所有的帳密都記寫起來）

• Humans have lousy memories. 
• Too many accounts: 
• Security fatigue sets in: 

然後文章開始介紹過往我們曾經遇過的保障帳密安全的方式，比如回答一個只有你知道答案的問題，還有 有哪些類型的2FA ，這很幫助我們用過去的經驗來整理和建立對2FA這個新詞的認識。

建議大家一項一項看下去，就會明白我們得到的理解。所為綱要清晰，粗粉紅色是大標，系粉紅色是小標，我們看到第三項的小標，就有雀躍感，因為判斷Software Tokens for 2FA就是我們這次遭遇失敗的方式，我們的困惑可能就要邁向解決了。

Hardware Tokens for 2FA
（：實體硬件，可能是最古老形式的雙重認證，後來也有走USB路線的，缺點是對大企業來說要普遍給客戶使用的成本太高了）

SMS Text-Message and Voice-based 2FA

Software Tokens for 2FA

Push Notification for 2FA

Other Forms of Two-Factor Authentication
（：指紋、虹膜、臉部辨識）

SMS傳訊認證和現在線上刷卡的OTP同屬於一次性傳輸的安全保障，不會涉及使用者其它的網路和社交等資產，所以OK，但類似臉書、discord或Gmail這些長期使用累積的客戶和關係，被盜一次就沒了，所以最近LikeCoin Ｄiscord採取要用戶啟動2FA雙重認證。

接下來有一段影片（Everybody Should 2FA）對我們也有幫助，就是實際看一下人在操作的樣子，因為桌機有應用程式，手機也有app，一下手機一下電腦的，到底哪個要先？對不熟的人來說，這會是個問題，看真人操作比較能得到概念：這玩意兒裝好以後，用起來大概是怎麼樣。

最後，如果還想更了解2FA，還有很多學習資源，我們也去看了一篇，為甚麼Authy App可以作備份。第二篇：How Authy 2FA Backups Work 然後明白我們自己幹了甚麼好事，為什麼會遇到挫折。

先來看這個畫面，就是你如果在桌機上要去啟動2FA的時候會看到的畫面：

啟動就是兩個方式，QR Code或手動輸入，讓Authy那邊得出我們有的Discord帳號，之後，Authy就會每三十秒生出一個Token，Token就是上面圖最下面要的六位數驗證碼。我們後來去試臉書，也是這樣。你打完帳號密碼就要開Authy來傳送六位數回臉書，才會登入成功。

（啟動成功以後系統會給你一組十個的八位數備份密碼，每個密碼只能用一次。用完再去產生。）

所以第一篇文章要開始介紹2FA的時候，才會說就算你帳密掉了，手機掉了，2FA(雙重認證)的設計仍然能保護你的帳號和帳號裡的東西。

透過每三十秒發送一次的一次性數字組合，讓你的登入多一層安全保障，真的要駭的人就算拿到那組數字也沒有辦法再使用。

我們是在桌機啟動2FA的時候先安裝了Authy，完成了認證。於是我們就很開心手機地要去手機上重複一次操作，也下好了App，然後手機上的Discord就要我們掃QR Code或輸入一組六位數來重新登入，還有一個下拉選項是輸入備份密碼。

這時候你會怎麼做？

我們那時候觀念還不清楚，馬上兩個念頭，一個就想回桌機看剛剛那個又有QR Code又有六位數的畫面（可是設好就也看不到了）；另一個是要去手機上的Authy App找，Authy App也要我們輸入備份密碼，Discord系統產生的備份密碼是純文字檔，用記事本開的，記事本的字體真不是蓋的，數字1和英文字母L的小寫，很難看出差別，我們後來貼到Word去改字體。但這不是最簡便的做法，最好是可以直接剪下貼上，一開始就下載App在手機上，用手機去啟動也許比較理想。總之，情急之下，我們輸入了幾次八位數都無效，不知道要上哪去找剛剛的六位數。超級崩潰。因為覺得啟動是為了給自己保障，結果為了啟動我們把自己鎖在外面，進不去了。

最正確的做法，事發當天當下可以直接去桌機的Authy得到一組六位數來登入就好了。這是為什麼我去LikeCoin Discord向 @leafwind 求救的時候，他會感到困惑的原因。很感謝他跟我說了六位數會一直變化的事情，讓我們可以一步步推理下去找出我們的問題和建立正確的認識。

在官網的第二篇文裡，我們還點出了一篇很有意思的文，也是很容易讀來增進了解的英文，關於密碼的。Salted Password Hashing - Doing it Right

以上就是戲劇型災難（drama）中的有所收穫。