無痛用Bitwarden取代Google Authenticator

閱讀時間約 4 分鐘

為了保護網路帳號的安全,除了要有強悍、難破解、不共用的密碼之外,許多網站也會要求必須開啟「2FA」雙因子認證保護機制。

雙重認證(英語:Two-factor authentication,縮寫為2FA),又譯為雙重驗證雙因子認證雙因素認證二元認證,是多重要素驗證中的一個特例,使用兩種不同的元素,合併在一起,來確認使用者的身分。(維基百科

2FA認證最常見的兩種方式:SMS簡訊驗證與TOTP認證。

基於時間的一次性密碼演算法(英語:Time-based One-Time Password,簡稱:TOTP)是一種根據預共享的金鑰與當前時間計算一次性密碼的演算法。它已被網際網路工程任務組接納為RFC 6238標準,成為主動開放認證(OATH)的基石,並被用於眾多多重要素驗證系統當中。(維基百科

簡訊驗證多數人較熟悉,但缺點是可能會隔很久才收到或沒收到簡訊,以至於超過驗證時效。而TOTP則是必須在啟用時先輸入「密鑰」,未來就只需要進入TOTP app中查看六位數的認證碼即可。最常見的TOTP app應該非Google Authenticator莫屬。

Google Authenticator

Google Authenticator

自從我開始使用Bitwarden後,解決了記憶密碼的問題,但輸入密碼後老是要再掏出手機查看Google Authenticator,著實有些麻煩。雖然我知道Bitwarden具備整合TOTP認證的功能,但一想到要逐個網站去申請新「密鑰」就感到懶惰。(註:若是使用bitwarden.com的免自架服務,需付費升級至Premium等級才能使用TOTP整合服務;自架則無此限制)

然而,一切在Google大神的幫助下有了轉機。以下是我一次性匯出Google Authenticator中「密鑰」的過程,希望對於申請新「密鑰」感到卻步的人,可以無痛用Bitwarden取代Google Authenticator。

從Google Authenticator提取密鑰

使用轉移帳戶功能獲取所有密鑰

進入Google Authenticator的選單,找到「移轉帳戶」選項,並選擇「匯出帳戶」。

raw-image

將密鑰解碼

選擇匯出帳戶後,會得到幾個QR code,QR code的內容便是密鑰。但Google Authenticator將這些密鑰以Base64演算法編碼,因此還必須先進行解碼。

我在GitHub上找到一個開源的解碼專案「extract_otp_secrets」,下載安裝後會啟動相機掃描Google Authenticator的QR code,再自動將密鑰解碼出來。因此建議操作時使用筆電或帶有視訊鏡頭的電腦會比較方便。當然,也可以使用文本的方式輸入,由於操作門檻較高,可以參閱原作者的說明文件進行操作。

開啟extract_otp_secrets後,電腦會開啟鏡頭,並在右上角顯示目前已掃描幾個QR code、有幾組TOTP被成功解碼。

raw-image

匯出密鑰與QR code

掃描完成後,按下「Shift+T」即可將解密結果存成純文字檔。

raw-image

將密鑰輸入Bitwarden

得到上面的純文字檔後,就可以進入Bitwarden輸入TOTP密鑰。可以將密鑰複製到電腦版Bitwarden的TOTP欄位,或使用Bitwarden的手機app直接掃描純文字檔中的QR code。(此QR code即為密鑰明碼,請小心使用,使用完畢請徹底刪除)

raw-image

結語

如果你已經使用Google Authenticator一段時間,肯定會和我一樣有許多TOTP認證碼,逐一轉移到Bitwarden實在是痛苦又冗長的過程。

透過Google Authenticator轉移帳戶的功能,可以一次性的提取所有TOTP密鑰,加快整合TOTP到Bitwarden的過程。整合完成後,不論是輸入帳號密碼或是輸入TOTP認證碼,都只需要Bitwarden即可搞定,在安全性和方便性取得平衡。

後記-資安考量

雖然將TOTP整合至Bitwarden非常方便,但這也代表Bitwarden資料庫中保有TOTP密鑰,也就是說,如果Bitwarden的資料庫外洩,帳號幾乎可以說是沒救。

我的想法是,Bitwarden資料庫不是以明碼方式儲存資料,縱使資料庫整個被盜走,小偷也必須解密資料庫才能獲得密鑰。此外,由於我是自行架設Bitwarden,資料庫是由我自己管理,沒有管理人員外洩給他人的危險,唯一的問題只有伺服器的安全性風險。然而,我並非什麼政商名流,我自己管理的伺服器被攻擊的機率本就沒有那麼高(參閱:LassPass遭駭事件),這也是我選擇自架Bitwarden的原因之一。

有連網的設備就有被攻擊的風險,我想這是身為網路使用者應該有的認知。怎麼在方便性和安全性之間取得平衡,是我們永遠的課題。

38會員
52內容數
正在就讀法律系的你,一定耳聞過司律考試,甚至已經下場考過。我有幸從考海中上岸,希望透過我的經驗,幫助正在迷惘、焦急、或是洩氣的你/妳。專題內容包含是否要參加考試、如何準備考試、面授與函授的優缺點比較等等,幫助你/妳找到最適合自己的解方。
留言0
查看全部
發表第一個留言支持創作者!
GYB的沙龍 的其他內容
除了電腦與網路技術方面的人才,完整的資安架構還必須包含資安法遵師。我甚至認為,多數企業對於資安法遵的需求,高於資安技術。企業面對資安威脅,必須採取風險控管的角度,將實際的防禦技術工作外包給專門的資安公司進行,企業內部僅需評估與控制風險。而控制風險正是法遵的核心職能。期待法律人才能一同為資安盡一份力。
隱私是甚麼?很遺憾的,「隱私」在國內外的法律界,始終沒有一個統一的範圍-甚麼是隱私、甚麼不是隱私。資訊隱私學者Helen Nissenbaum教授在其著作中提出脈絡完整性理論,但仍沒有提出更放諸四海皆準的標準。或許在未來,我們可以運用機器學習去訓練一個隱私的模型,嘗試為「沒有標準」建立科學模型。
一開始我將Bitwarden架設在我私人的伺服器上,過程中吃了不少苦頭。後來架設於NAS上,大幅降低佈建難度。且NAS的原始設計就是長時間不間斷地開機運行,我認為是現階段自架Bitwarden的最佳方案。
Bitwarden是現階段值得推薦的一款密碼管理軟體,可以避免「一個密碼打天下」的危險狀態。若選擇自架Bitwarden伺服器則可免費獲得付費訂閱版本的功能全部功能,對於有一點技術能力的人來說,是個經濟實惠的選擇。
除了電腦與網路技術方面的人才,完整的資安架構還必須包含資安法遵師。我甚至認為,多數企業對於資安法遵的需求,高於資安技術。企業面對資安威脅,必須採取風險控管的角度,將實際的防禦技術工作外包給專門的資安公司進行,企業內部僅需評估與控制風險。而控制風險正是法遵的核心職能。期待法律人才能一同為資安盡一份力。
隱私是甚麼?很遺憾的,「隱私」在國內外的法律界,始終沒有一個統一的範圍-甚麼是隱私、甚麼不是隱私。資訊隱私學者Helen Nissenbaum教授在其著作中提出脈絡完整性理論,但仍沒有提出更放諸四海皆準的標準。或許在未來,我們可以運用機器學習去訓練一個隱私的模型,嘗試為「沒有標準」建立科學模型。
一開始我將Bitwarden架設在我私人的伺服器上,過程中吃了不少苦頭。後來架設於NAS上,大幅降低佈建難度。且NAS的原始設計就是長時間不間斷地開機運行,我認為是現階段自架Bitwarden的最佳方案。
Bitwarden是現階段值得推薦的一款密碼管理軟體,可以避免「一個密碼打天下」的危險狀態。若選擇自架Bitwarden伺服器則可免費獲得付費訂閱版本的功能全部功能,對於有一點技術能力的人來說,是個經濟實惠的選擇。
你可能也想看
Google News 追蹤
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
自己要的社會自己監督!誰沒遇過幾個雷室友,室友再怎麼差不過就是一年的事,選錯、支持錯企業,那可不只是抱頭痛哭,說不定連子孫晚輩都要怨我們怎麼不為他們想想,其實選一家好的企業就和選擇朝夕相處的室友都是有訣竅的
Thumbnail
最近想花比較多時間來研究存股,所以就開始看一些存股的書籍。當然很多人會推崇指數型的投資更勝高股息,但對於想要心安的人來說,高股息存股還是有一定的吸引力的,就來學習一些存股的相關知識吧。
Thumbnail
透過Google Authenticator轉移帳戶的功能,可以一次性提取所有TOTP密鑰,加快整合TOTP到Bitwarden的過程。整合完成後,不論是輸入帳號密碼或是輸入TOTP認證碼,都只需要Bitwarden即可搞定,在安全性和方便性取得平衡。在方便性和安全性之間取得平衡,是資安永遠的課題。
Thumbnail
有關於減肥...大家最想了解的除了減肥方式,另一個最熱門的關注就是減肥菜單了對吧XDD 減肥方式有很多種,運動有分有氧與重訓,而飲食種類更多,像是低醣減肥、生酮減肥、以及最近最流行的168斷食等等...這些減肥方式都各有優缺點 喜歡用運動來達到減肥目的的,就是做好「70%飲食控制+30%運動」 想要
Thumbnail
誰都怕跌…… 股票永遠漲漲跌跌,一般人對下跌會有非理性恐懼,都是用錯分析方式,例如跌點、跌幅,甚至還有跌點、跌幅排行榜,但那個是陳述事實,沒有分析上的意義。 就技術分析而言,漲跌的對應位置,比漲跌本身,對後市的判斷更為重要,今天談與MA5/MA20/MA60相對關係,及可以做出的合理研判是什麼。
Thumbnail
谷林運算(GoodLinker)專注於 AIoT 技術的新創公司,我們的願景是讓所有工廠都能受益於智慧製造。提供一站式智慧機械升級系統,快速將產線機台運作資料視覺化,讓企業主隨時隨地掌握工廠狀況。
Thumbnail
無痛退休第8講:退休後生活如何安排, 附音頻連結及教材下載連結
Thumbnail
無痛退休第11講:用記帳軟體管理支出做退休規劃, 附音頻連結及教材下載連結
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
自己要的社會自己監督!誰沒遇過幾個雷室友,室友再怎麼差不過就是一年的事,選錯、支持錯企業,那可不只是抱頭痛哭,說不定連子孫晚輩都要怨我們怎麼不為他們想想,其實選一家好的企業就和選擇朝夕相處的室友都是有訣竅的
Thumbnail
最近想花比較多時間來研究存股,所以就開始看一些存股的書籍。當然很多人會推崇指數型的投資更勝高股息,但對於想要心安的人來說,高股息存股還是有一定的吸引力的,就來學習一些存股的相關知識吧。
Thumbnail
透過Google Authenticator轉移帳戶的功能,可以一次性提取所有TOTP密鑰,加快整合TOTP到Bitwarden的過程。整合完成後,不論是輸入帳號密碼或是輸入TOTP認證碼,都只需要Bitwarden即可搞定,在安全性和方便性取得平衡。在方便性和安全性之間取得平衡,是資安永遠的課題。
Thumbnail
有關於減肥...大家最想了解的除了減肥方式,另一個最熱門的關注就是減肥菜單了對吧XDD 減肥方式有很多種,運動有分有氧與重訓,而飲食種類更多,像是低醣減肥、生酮減肥、以及最近最流行的168斷食等等...這些減肥方式都各有優缺點 喜歡用運動來達到減肥目的的,就是做好「70%飲食控制+30%運動」 想要
Thumbnail
誰都怕跌…… 股票永遠漲漲跌跌,一般人對下跌會有非理性恐懼,都是用錯分析方式,例如跌點、跌幅,甚至還有跌點、跌幅排行榜,但那個是陳述事實,沒有分析上的意義。 就技術分析而言,漲跌的對應位置,比漲跌本身,對後市的判斷更為重要,今天談與MA5/MA20/MA60相對關係,及可以做出的合理研判是什麼。
Thumbnail
谷林運算(GoodLinker)專注於 AIoT 技術的新創公司,我們的願景是讓所有工廠都能受益於智慧製造。提供一站式智慧機械升級系統,快速將產線機台運作資料視覺化,讓企業主隨時隨地掌握工廠狀況。
Thumbnail
無痛退休第8講:退休後生活如何安排, 附音頻連結及教材下載連結
Thumbnail
無痛退休第11講:用記帳軟體管理支出做退休規劃, 附音頻連結及教材下載連結