為了增加一些微軟、google等帳號的安全性,使用MFA的方式保護是有必要的,所以手機中就安裝了Google Authenticator、Microsoft Authenticator,還有LastPASS的 Authenticator。
Google Authenticator的記錄可以轉移到其他手機,但如果還沒轉移前手機就無法使用了,感覺還蠻危險的,所以這個APP目前幾乎沒使用。
Microsoft Authenticator對自家的帳號體驗度是最好的,預設的可以直接彈出驗證點擊同意,而不是去輸入驗證碼,現在的版本也有支援備份了,之前就使用過一次恢復,體驗普通,因為有的帳號還是需要你重新掃描二維碼,實際上就相當於是重新添加一樣了,但因為可以直接彈窗,所以微軟的帳號還是主要用這個APP還是很方便的。
LastPASS的 Authenticator作為第三方的驗證,目前使用體驗是挺好的,它做到了真正的備份,添加的時候需要配合LastPass這個APP備份資料,在其他手機上登入帳號可以100%還原Authenticator,但作為通用的MFA,它只能提供產生驗證碼的方式,無法點擊彈窗確認來驗證。
因為購買了YubiKey,這家也有Authenticator,這家的和其他的有什麼不同呢。
YubiKey Authenticator 的客戶端蠻多種的,包含Windows、MAC、Linux、Android、IOS
添加的方式和其他的第三方的APP相同,可以使用掃描二維碼或者手動輸入帳戶名稱和祕密金鑰的方式添加,可以設定只要有讀取到YubiKey就可以顯示6位或者8位驗證碼,還是需要觸摸或者感應才會顯示,最後添加的時候需要插入電腦或者手機上用NFC感應。
看出來,這些驗證的訊息是寫到YubiKey中的,手機APP或者電腦中的程式只是用來讀取用途的,YubiKey移走之後,當前的驗證碼失效後,這些MFA訊息就變灰色或者是消失掉,需要讀取的話,要再插入或者感應YubiKey,這樣子就和手機無關了,只要YubiKey在,MFA的資料就還在,但要注意MFA的驗證不要只有一個YubiKey,不然YubiKey丟了,就很麻煩,解決方式當然是買多個YubiKey來添加多組MFA,或者是添加其他的MFA驗證方式,比如手機收簡訊等,再來YubiKey Authenticator可以添加的帳號數量是有限制的,針對5 NFC來說是32個,畢竟是寫在硬體中的,不像軟體那樣的寬鬆。
配合Azure AD使用的官網參考文件:
https://support.yubico.com/hc/en-us/articles/360015669179-Using-YubiKeys-with-Azure-MFA-OATH-TOTP