管理, 帳號

安全性 »兩步驟驗證

你的 WordPress.com 網站,就如同你在網路上的家一樣,當然你會想讓這個家固若金湯,安全無虞。想必你已經幫自己的帳號,設定一組獨一無二且難以破解的密碼;但是,啟用兩步驟驗證,能夠進一步提升網站的安全防護能力。

目錄


什麼是兩步驟驗證?

兩步驟驗證是一種保護帳號安全的方法,使用者不只必須 知道某些資訊(密碼),還需要 持有某種物件(行動裝置或實體金鑰)才能登入。這種安全性作法的好處是,即使有人猜出你的密碼,他們還得竊取你的裝置,才能入侵你的帳號。

WordPress.com提供兩種兩步驟驗證方式:行動裝置或實體安全性金鑰。首先,我們會透過幾種方式傳送驗證碼,以驗證你的行動裝置;裝置通過驗證後,你也可以新增改用實體金鑰的驗證方式。

兩步驟驗證設定完成後,使用密碼登入時,我們會傳送一組新驗證碼到你的裝置;你必須輸入正確的驗證碼,或插入實體金鑰才能登入。登入程序雖然多了一個步驟,卻能加強保障帳號安全。


設定驗證器應用程式

若要透過裝置上的 Google Authenticator、Authy 或 Duo 等驗證器應用程式設定兩步驟驗證,你需要在電腦版瀏覽器啟動應用程式。

首先,請前往 WordPress.com 的 「兩步驟驗證」 設定頁面。

或者,你可以在 WordPress.com 首頁,按一下 你的個人檔案圖片,然後前往「設定」:

個人檔案連結

接著,在畫面左側導覽中按一下「安全性」連結:

帳號選單、安全性連結

然後,按一下「兩步驟驗證」,接著按下「開始使用」即可。

兩步驟驗證設定

系統會在這裡提示你選取國家/地區,並輸入手機號碼 (不含國家/地區代碼和空格或虛線)。接著,按一下 「透過應用程式驗證」

輸入手機號碼

接下來,使用驗證器應用程式,掃描畫面顯示的 QR 碼。驗證器應用程式將顯示一組六位數字。請將這組數字正確無誤地輸入指定欄位,然後按一下「啟用」

掃描 QR 碼並驗證代碼

最後,系統會提示你列印備用驗證碼。請勿略過這個步驟,如果你的裝置不慎遺失,這是唯一不需尋求我們協助,你自己即可重新登入帳號的方法!

請注意: 如果你的網路瀏覽器會封鎖彈跳視窗,你可能需暫時停用這項功能,否則無法開啟備用驗證碼視窗。

按一下「全部完成」

現在你的網站已啟用兩步驟驗證。接下來請從列印出來的備用驗證碼中,任選一組輸入,以確認備用驗證碼可以正常使用。

驗證備用代碼

設定簡訊驗證碼

如果你無法使用驗證器應用程式設定兩步驟驗證,也可以透過簡訊設定。若要設定簡訊驗證碼,請依照上述步驟設定你的電話號碼,然後按一下「透過簡訊驗證」

透過簡訊驗證

你應該會在幾分鐘內收到一則包含 7 位數字的簡訊。請將數字輸入指定的空白處,然後按一下「啟用」

現在你可以依照上述說明列印並驗證備用代碼。你的帳號現已受兩步驟驗證保護。

可封鎖自動來電的智慧手機應用程式,也可能會封鎖我們的訊息。


安全性金鑰驗證

WordPress.com 也支援採用 WebAuthn 標準的實體安全性金鑰,作為登入驗證方式。

輸入密碼後,你不需輸入簡訊或 Google Authenticator 等應用程式傳送的驗證碼,而是插入實體金鑰,然後按下金鑰上的按鈕,即可完成驗證並登入。如果沒有實體金鑰,即使有人知道你的密碼,也無法登入你的帳號。

需求
  • 配備 USB 連接埠和最新版相容瀏覽器(例如 Chrome、Firefox、Opera 或 Edge) 的電腦。
    (請注意:目前 Chrome 和 Firefox 在驗證方面提供最佳整體支援,建議使用這兩種瀏覽器以獲得最一致的體驗。)
  • 具備一個可插入 USB 連接埠並相容於 FIDO2 的金鑰,例如 Yubico 的 YubiKey 或 Google 的 Titan 金鑰(具備 FIDO U2F 舊標準的裝置應該也可以)。如需深入了解你的金鑰支援哪些裝置和瀏覽器類型,請查閱金鑰的支援說明文件。
新增金鑰

請注意:你需要依照上述步驟,透過簡訊或驗證器應用程式啟用兩步驟驗證,才能新增安全性金鑰。

設定應用程式或簡訊的兩步驟驗證後,會出現新增安全性金鑰的選項。請按一下「註冊金鑰」

註冊安全性金鑰

你可以註冊多個金鑰並為金鑰命名,日後新增其他金鑰時便可加以區別。輸入不重複的名稱,然後按一下「註冊金鑰」

此時,請將金鑰插入電腦上的 USB 連接埠,然後視金鑰類型,按下金鑰上的按鈕或點選金色圓盤。

連結並觸碰安全性金鑰以註冊

如果成功,畫面會顯示一則訊息,並將金鑰列於「安全性金鑰」中。

安全性金鑰清單

設定完成後,沒有金鑰將無法存取帳號。因此請把它當成自家大門鑰匙或汽車鑰匙一樣妥善保管!

另外,不妨考慮新增第二個金鑰作為備份選項,並存放在你記得的地方;萬一主要金鑰發生問題,就能派上用場。若要新增其他金鑰,只要再次按一下「註冊金鑰」即可。

移除金鑰

若要移除之前新增的安全性金鑰(例如發生金鑰遺失或失效等狀況),你可以中斷該金鑰與帳號的連結。

請前往個人檔案設定中的「兩步驟驗證」頁面,按一下金鑰旁邊的垃圾桶圖示,然後在出現的確認訊息中按一下「移除金鑰」

刪除安全性金鑰

登入

啟用兩步驟驗證後,登入程序會與平常略有不同。無論使用 Google Authenticator 還是簡訊啟用兩步驟驗證,一樣要先輸入使用者名稱和密碼進行登入。

登入畫面圖片
登入 WordPress.com

接下來,系統會提示你輸入裝置收到的驗證碼。

輸入兩步驟驗證碼

如果你是透過驗證器應用程式設定兩步驟驗證,請在你的裝置上開啟應用程式,並輸入該帳號的六位數字。如果使用簡訊進行兩步驟驗證,你會收到一則包含六位數字的簡訊。輸入驗證碼後,你就能登入網站撰寫網誌了。

如果你設定了安全性金鑰,系統會詢問你是否要使用金鑰或驗證器應用程式/簡訊進行驗證。若要使用金鑰驗證,請按一下「繼續使用安全性金鑰」

兩步驟驗證選項

接下來,系統會提示你連接金鑰。請將金鑰插入電腦上的 USB 連接埠,然後視金鑰類型,按下金鑰上的按鈕或點選金色圓盤,以完成登入。

連接安全性金鑰並完成登入的提示。

請注意:如果驗證時間太長,系統會取消驗證要求,並顯示一則錯誤訊息。只要再按一次「繼續使用安全性金鑰」就能重新開始驗證。


備用驗證碼

我們不希望你失去 WordPress.com 帳號的存取權限;就算帳號遺失、遭竊、因故遭到鎖定,或需要清空裝置(這樣會把 Google Authenticator 也刪除掉),你還是要能夠登入帳號才行。

為確保帳號永遠不會遭到鎖定,你可以產生一組十個一次性備用驗證碼。建議你印出備用驗證碼,並妥善存放在錢包或文件保險箱等安全位置。(請勿存在電腦上,以有人用你的電腦竊取驗證碼。) 

產生備用驗證碼非常重要,請務必完成這個步驟。如果你需要使用備用驗證碼,只要照常登入,然後在系統詢問登入驗證碼時輸入備用驗證碼即可。

兩步驟驗證設定程序結束時,系統就會提供產生備用驗證碼的選項:

印出備用驗證碼

別只是把備用驗證碼存起來,還要印出來,請確認你已完成此操作。然後按一下「全部完成!」 關閉畫面。

如果備用驗證碼清單遺失或遭竊,你可以產生一組新的驗證碼。為了提高安全性,產生新驗證碼後,舊驗證碼將失效。

產生新的備用驗證碼

你只能從電腦版瀏覽器產生備用驗證碼。舉例來說,iOS 的 Safari 將無法顯示備用驗證碼。此外,如果你的網路瀏覽器有啟用彈跳視窗封鎖功能,你需要暫時停用,否則將無法開啟備用驗證碼視窗。


應用程式專用密碼

有些 WordPress.com 帳號連結的應用程式,尚未完全支援兩步驟驗證;最常見的就是訂閱 WordPress.com 網誌用的 Jabber 應用程式。你可以為這些應用程式分別產生專屬密碼 (例如手機和平板電腦。可以各自使用不同的密碼),也可以停用個人密碼並封鎖應用程式存取你的帳號,以防他人存取你的網站。

若要產生應用程式專用密碼,請返回「兩步驟驗證」,然後前往「應用程式密碼」:

應用程式密碼提示

為應用程式命名(只有你會看到這個名稱,所以可以隨意取名),然後按一下「產生驗證碼」。WordPress.com 將建立一組包含 16 個字元的獨特密碼,下次在此裝置登入你的帳號時,就可以複製貼上該密碼。應用程式會記住這組密碼,你不用特別記下。

你的「安全性」頁面將保留你為所有應用程式產生的密碼清單。如果你的任何裝置遺失或遭竊,或者你只是想撤銷特定應用程式的存取權限,可以隨時造訪此頁面,按一下「X」即可停用密碼,並防止該應用程式存取你的帳號:

移除應用程式密碼

停用兩步驟驗證

我們不建議你停用兩步驟驗證;因為即使你認為自己的密碼強度極高,仍不夠安全。如果你堅持停用兩步驟驗證,請前往「兩步驟驗證」頁面停用這項功能。

頁面會顯示該功能已啟用,你可以按一下 「停用兩步驟驗證」按鈕,此時系統會提示你輸入驗證碼,確認你仍然可以存取最初用於設定兩步驟驗證的裝置。如果你使用驗證器應用程式,請開啟該應用程式並提供所列的驗證碼;如果使用簡訊驗證,你會收到一組驗證碼,請輸入此代碼。(這組驗證碼與你用來登入帳號的驗證碼不同。你也可以在此步驟使用你的備用驗證碼。)

輸入驗證碼後,請按一下「停用」,你的帳號將不再受兩步驟驗證保護。

停用兩步驟驗證

請注意:安全性金鑰無法用來停用兩步驟驗證,只能使用簡訊、驗證器應用程式傳送的驗證碼,或是備用驗證碼來完成此操作。


轉移到新裝置

如果你之前已啟用兩步驟驗證,現在打算轉移到新裝置,請執行以下步驟,以免你的使用者帳號遭到意外鎖定。

如果你使用驗證器應用程式產生驗證碼,請執行以下操作:

  1. 依照此處步驟,列印一組使用者帳號的備用驗證碼。切勿略過這個步驟。
  2. 在新裝置上安裝驗證器應用程式。
  3. 依照此處步驟,停用舊裝置的兩步驟驗證連結。
  4. 依照此處步驟,設定使用者帳號以連結新裝置。
  5. 如果系統提示你輸入驗證碼,請使用備用驗證碼清單中的驗證碼。備用驗證碼只能使用一次。
  6. 現在你可以將驗證器應用程式從舊裝置解除安裝。

如果你使用 WordPress.com 行動應用程式管理和發佈內容到你的網站:

  1. 依照此處步驟,建立新的應用程式專用密碼。
  2. 在新裝置使用此應用程式時,請輸入新的應用程式密碼。

如果你使用簡訊接收驗證碼,除非你換了新的電話號碼,否則不需更新驗證設定。在這種情況下,請在中斷舊簡訊號碼的連結之前,依照此處步驟設定一個新的復原號碼。


如果裝置遺失

如果你遺失裝置或安全性金鑰、不小心移除驗證器應用程式,或是由於其他原因使帳號遭到鎖定,則只能使用備用驗證碼重新取回帳號。

若要使用備用驗證碼,請照常填入登入詳細資訊。並在系統要求輸入登入驗證碼時,改成輸入備用驗證碼即可。請注意:每組備用驗證碼只能使用一次,請小心使用。

Not quite what you're looking for?

取得說明