對於現在人來說,雙因素認證(two-factor authentication,簡稱 2FA)已經是在使用網路服務很習慣的一件事了,許多網站都會在設定時推薦使用由 Google 所發行的 Google身份驗證器(Google Authenticator),但是久而久之,遇到了像是更換手機、遺失手機甚至是手機毀損的時候,接著你就頭大了。
然後你就慢慢找,或許找到了 Authy 這個線上服務, 但是想一想「這不就是把鑰匙放在別人家嗎?」,於是又開始轉往單機軟體……
程式特點
所以今天要介紹的就是在 Android 上ㄧ款開源的 OTP 應用程式:andOTP,主要功能有:
- 開源
- 最少的權限(為了掃描 QRCode 及備份需要相機與檔案存取)
- 兩種資料庫加密方式
- 三種備份選項
- 三種佈景主題
- 好用
- 相容於 Google 身份驗證器
- 支援 TOTP 與 HOTP
andOTP 可以在 GooglePlay、F-Droid 及 Github 上取得。
請注意,三種版本互不相容,轉換前請先備份資料庫。
那就讓我們開始吧!
首先當然是下載囉,上面有三種方式任君選擇,接著就是打開程式。
前幾版的程式雖然有正體中文的翻譯,但是沒有編譯進去,不過現在的版本已經有了,所以使用上不是太困難,繼續下一步。
接著這裡會問你「資料庫加密的方式」,這裡推薦使用 密碼/PIN 的方式,下方說明可以參閱一下,雖然用「密碼/PIN」的方式會稍微麻煩一些(因為必須每次開啟都輸入密碼),但是對於資料庫穩定性較高。
下一步驟是設定加密資料庫的密碼,同時也是開啟所需要輸入的密碼,這邊可以選擇「密碼」或「PIN」,PIN 只接受數字,而密碼則是連同特殊符號也可輸入。
一切準備就緒!
首次使用
設定完成後程式會自動開啟,輸入剛剛設定的密碼解除鎖定。
主畫面就是一片空白,讓我們新增一點東西吧!一般來說你可以用 QRCode 掃描,不過這裡因為是測試,所以選擇「鍵入詳細資訊」。
如果只是要測試的話,可以用 TOTP Token Generator 測試,開啟後會給你一些資料,照著填入即可。一般來說「詳細選單」內的是不需要做更動的,絕大多數網站都是採用「30秒6位數」的設定,少部份使用「10秒7位數」,在 andOTP 也是可以相容的。
這裡說明一下,第一個「標籤」指的是「Label」第二個則是「Tag」,這應該是翻譯問題,之後應該會修正掉。
完成後就會在主畫面顯示出 Token 了,標題列下方黃色橫條是更新時間,當跑到最左側時也就是一次更新時間。
其他設定
主畫面隱藏 Token
預設下你的 Token 會大剌剌的顯示在上面,在設定中是可以選擇說必須點擊後才會顯示,也可以設定顯示時間,點選三點選單後「設定」。
備份與匯入
一樣點開三點選單,選擇「備份」。這裡總共有三種備份方式:
- 明文
- 密文
- OpenPGP
明文就是完全沒加密,取得者可以直接開啟。
密文在匯出時會詢問密碼,在匯入時也必須輸入解密。這裡的密碼與開啟解鎖時的密碼不相關,前者是資料庫密碼,這裡是匯出文件的密碼。
OpenPGP 則必須安裝
Openkeychain 等 OpenPGP 相容程式才可以運作,同時也必須要指定加密的電子郵件及簽章金鑰(可選,端看是否要驗證完整性)。
結語
andOTP 在使用上都比其他我用過的 OTP 應用程式還要優異,Google 身份驗證器 雖然畫面簡單,但是你可否想像當你用的服務都開始支援 2FA 的時候,滿山滿谷 Token 找老半天,利用 andOTP 的 tag 及搜尋排排序等等,可以更快的找到所需的 Token,對於少用的 Token 也可以加以隱藏,免除主畫面雜亂無章的情況。
同場加映
對於想從 Authy 跳槽的使用者(我自己就是),這裡提供一個方法可以使用,都匯出後確認沒問題就可以請求刪除 Authy 帳號了。
對於想要在電腦上使用 OTP 的人,這裡也提供一個軟體(僅限 Linux):OTPClient,它相容於 andOTP 的備份檔案,所以兩者之間可以互通。
文章於 2023-05-08 01:06 更新