趋势网(微博|微信|熊掌号):谷歌并不回避大胆的主张。
“自谷歌实施安全密钥以来,我们没有收到任何报告或确认的账户收购,”一位发言人告诉TechCrunch。
这可能是真的。把安全密钥想成是发送到你手机的双因素认证码,而不是口袋里的u盘。双因素身份验证比用户名和密码更强大,但是文本消息代码可以被拦截,许多站点和服务还不支持更强的身份验证代码。安全密钥是防范账户入侵的最强防线之一。这是因为在世界的另一边,黑客想要侵入你的账户,不仅需要你的密码,还需要你的物理密钥——这不是黑客可以轻易或秘密窃取的东西。
高三女生被灌醉后遭强奸致死 金正恩:朝鲜半岛核战争一触即发 老人领喜糖跌倒去世家属索赔新人 旺旺三公子称明显有人在搞事 胖东来宣布员工结婚不允许要或付彩礼
尽管市面上有一些安全密钥品牌,如Yubikey和Feitian等,但谷歌认为自己的Titan安全密钥能做得更好。
周四,该公司自有品牌和自有开发的安全密钥开放购买。一个是USB密钥,另一个支持蓝牙和NFC的移动设备。你需要登记这两把钥匙——一把放在安全的地方,另一把留在你身边。
这些密钥看起来与谷歌之前在高级保护项目下提供的密钥没有太大区别。高级保护项目帮助高风险用户——比如记者、活动人士和政府官员——保护他们的账户免受复杂的民族国家黑客攻击。事实上,它们看起来几乎一模一样。但该公司表示,这些密钥比市场上的任何其他安全密钥都更强大、更有弹性。
首先,这家搜索巨头表示,他们已经充分利用了现有的技术——如FIDO标准——并在内部建立了额外的保护措施。该公司还在大力宣传自己的特殊功能——一种嵌入在每个按键上的软件,可以防止被篡改。每个密钥都将其固件存储在一个无法修改的安全元素中,防止任何人在登录时提取用谷歌对您进行身份验证的密钥中的私有数据。谷歌表示,通过在硬件芯片交付给制造密钥的工厂之前,将加密数据密封起来,可以降低制造攻击的风险。
你几乎可以在任何现代浏览器和移动设备上使用每一个密钥,而且除了谷歌之外的许多网站都支持登录密钥,比如Dropbox、Facebook、Salesforce、Stripe和Twitter。
但除此之外,它几乎只是另一个安全键。
不过,尽管它们提供了近乎不可渗透的安全性,但这些密钥——就像市场上的其他密钥一样——既繁琐又不方便。这来自于一个生活在安全环境中并使用安全密钥的人。
谷歌还远没有解决这个问题。诚然,任何一种双因素身份验证都是一种痛苦,但这是您为维护帐户安全而付出的代价。每次你从一个新设备登录到你的帐户,你会被提示输入你的电子邮件地址和密码。快速按下你钥匙上的一个按钮——通过蓝牙或插入USB键——会告诉谷歌你是真正的账户所有者。
物理键的一个缺点是,如果丢失了,你就完了。这就是为什么你有两个键——一个是用来备份的。谷歌表示,它可以帮助您再次访问您的帐户,但恢复过程可能需要几天时间。
你需要钥匙吗?这取决于你有多偏执。
现实情况是,这些钥匙还不是为大众准备的——只是现在。虽然物理密钥是为高价值的目标设计的,但即使对于最基本的攻击和新手用户来说,它们也是塞翁失马,焉知非福。网络钓鱼攻击很常见,有人会给你发送电子邮件,试图欺骗你输入电子邮件地址和密码。如果他们有你的密码,他们就有你的数据。但是,安全密钥只保护您正在登录的合法域名,使得网络钓鱼的尝试实际上是无用的。
尽管谷歌表示这些设备是安全的,但作为安全密钥的主要开发者,Yubikey批评谷歌支持蓝牙的举动,因为最近的蓝牙漏洞给附近的人增加了一个攻击层。理论上,攻击者可以在距离蓝牙设备较近的范围内通过无线方式获取用户的加密密钥。尽管该公司提出了批评,但攻击的范围非常小,几乎可以忽略不计——但每个人的风险因素都不同。
我们还处在安全钥匙的早期阶段。尽管谷歌希望这些密钥对大众来说是便宜的、可访问的和可用的,但是对于普通用户来说,仍然存在太多的障碍。
但是对于那些知道他们需要额外的保护层的人来说,这些钥匙就足以把你从灾难中拯救出来。