返回目录:理财投资
密码已经不再安全了,这事我们都知道。
对有些人来说,盗取密码远比你想象的更简单。Google 和苹果都推荐用户使用两步验证方法,即用账号密码登陆之后,再用手机上收到的验证码进行二次验证。即使用户的账号、密码被非法获取,侵入账户的攻击也可能卡在手机验证码这一环。那些对安全系数要求更高的用户,如今可以使用与硬件结合的方式,更进一步的保护自己的账户。
Google周二推出了一款实体安全秘钥(Security Key),用户将 USB 密钥插入电脑的 USB 接口,按下触摸按钮即可完成设置。此后,这个密钥就会成为身份认证的惟一验证方式。这个 USB 安全密钥的功能主要是验证钓鱼网站,使用 Chrome 浏览器和 USB 安全密钥登陆自己的 Google 账户,用户的加密签名就不会被黑客窃取。不止是 Google 账户,那些需要 Google 账户登陆的网页,都在保护的范围之内。
实际上,USB 密钥替代的是接收和输入手机验证码的过程。如果使用手机验证码登陆,技术一流的攻击者有可能构建一个类似的网站,要求用户向它们发送验证码,而实体密钥使用的加密方法,只会对其相对应的网站自动产生响应,从而避免此类恶意攻击。此外,随身携带 USB 实体密钥,也就不用担心手机没电或是网络状况不佳导致收不到验证码了。乌云安全平台的白帽子 Wudi 对此表示:“和指纹验证一样,这种消灭密码的实体验证方式,将是未来的安全趋势。”
这款实体密钥的使用方法让人想起国内各家银行配合网络银行推出的 U 盾、K 宝等 USB 验证设备。不过,Google 推出的这款实体密钥是与 Yubico 合作推出,支持 FIDO U2F(Universal 2nd Factor )开放协议,与那些只支持早期 IE 浏览器的 U 盾还是有区别的。
Google 于去年加入了 FIDO (快速在线验证)联盟,这个联盟旨在推广一系列技术标准,采用物理密令的方式登录账户,从而增强网络安全。目前,加入这个联盟的还有联想、PayPal、LG、Mastercard 等 120 多个成员。
目前,这款实体密钥仅支持 Chrome 浏览器,Google 用户在合作供应商那里购买一个兼容的密钥 U 盘以后,就可以免费使用这项服务。移动设备的 Chrome 用户也只能暂时继续使用原有的两步验证方法。
Google Security 的产品经理 Nishit Shah 表示,接下来,将会有更多的网站和浏览器支持 FIDO U2F 协议,用户就可以使用这款 USB 密钥保护更多的账户。
不管你是选择使用需要随身携带的 U 盘认证,还是使用绝不会丢的指纹认证,总之,我们离告别密码的日子,不太远了。
题图来自 Yubico