返回目录:word文档
Android手机顶部的物理安全密钥 图:Josh Miller/CNET
安全密钥是保护帐户免受黑客攻击的有效方法,但这项技术面临着一项重大挑战:他们很不方便。
没有人会只为了安全登录而携带额外的钥匙或蓝牙遥控器,这就是为什么大多数双重身份验证是通过短信完成的,即使它不太安全。多达90%的Gmail用户甚至不使用2FA,这是一位Google软件工程师在2018年透露的。
便利性是一大障碍,Google希望利用手机作为安全密钥来解决这个问题。它具有与物理安全密钥相同的功能, 并且不需要额外携带设备来保证帐户安全。
这意味着,如果冒名顶替网站试图窃取密码,手机会像安全密钥一样发出警告。与使用SMS或手机验证码登录不同,安全密钥必须验证登录的网站是否合法。
据Google表示,更新后的安全功能仅适用于7及以上的Android设备,约占所有活跃用户的50%。目前,它仅适用于谷歌的Chrome浏览器和谷歌帐户,但该公司希望扩大可用性。
“这是必然的演变过程,就像一些安全密钥最初只与Chrome合作,后续还是会转移到其他浏览器一样,同样的事情也发生在了这里。”Google身份和安全产品经理Christiaan Brand说。
通过转到Google上的设置,并选择两步验证来设置手机上的安全密钥,另外还需要单击添加安全密钥并选择您的手机作为设备。
网络钓鱼
网络钓鱼攻击是常见的,通常很难发现,甚至还会愚弄经验丰富的老鸟。安全密钥有助于防止黑客进入账户,因为即使密码被盗,攻击者也必须拥有物理密钥才能登录。
“我们正在解决数千英里以外的人试图窃取密码的问题。”Google Cloud的产品管理总监Sam Srinivas说,“有了这项功能,攻击者必须保持在100英尺范围内。”
去年,Google首次发布Titan Key时,一套售价为50美元,而Brand表示公司希望最终将成本降至不到10美元。
去年,谷歌发布了Titan Security Key的USB和蓝牙版本 图:Sarah Tew
通过将Android设备变为安全密钥,Google实际上是免费提供的。All Things Auth的安全研究员Conor Gilsenan表示,这种覆盖范围可以让更多人更容易开始使用安全密钥。
一位安全专家表示,他和他家人买了这套Titan Security Key设备,但设置所有这些设备花了将近两个多小时。
“这是一件大事。”吉尔森说,“能够利用已拥有的手机,为普通互联网用户提供了更好的身份验证方式。”
Brand表示,手机安全密钥符合FIDO认证标准,这意味着任何允许该标准的网站都可以作为安全密钥使用您的手机。其中包括Facebook,Twitter和GitHub等网站。
便利是关键
这项技术的开发者也正在向其他网页推荐,接受让手机作为安全密钥来使用。
当登录Google帐户时,该技术可以通过连接手机和计算机的蓝牙来实现。系统会提示您在手机上显示一条消息,以便在连接后验证登录信息。布兰德表示,虽然使用蓝牙进行通信,但两台设备并不需要相互配对。
“为了确保它们不需要配对,在蓝牙之上专门设计了一个新标准。”他解释道。
有人批评在安全密钥中使用蓝牙,因为无线协议可能会对安全漏洞开放。当谷歌去年宣布其蓝牙密钥时,Yubico首席执行官Stina Ehrensvard声明称,其蓝牙没有与NFC和USB相同的安全标准。
Brand称,谷歌有能力通过USB线让手机作为安全密钥运行,但却决定反对它。他解释:“在我们进行用户调查时发现,要求用户再准备一条适合设备的线是非常不便的,所以我们并不准备通过USB线来作为安全密钥运行。”
尽管如此,即使手机具有各种便利性,Brand和Srinivas也建议使用备用USB密钥。这样,如果丢失了手机或电池耗尽,仍然可以登录。
现在,所有Android设备中有一半可用作安全密钥,新的挑战将是让人们以这种方式实际使用它们。
安全密钥的采用率总体上低于2FA,但便利性可能会吸引更多人来更好地保护他们的帐户。
吉尔森说:“你不必再插线,而且不必购买新设备,因为有了安卓手机这些东西你就都拥有了。更大的挑战是与人们沟通这项功能的便利性,因为他们确实还摆脱不了2FA。”
原文:CNET/ALFRED NG
译者:付斌