谷歌真的、真的希望你使用物理安全密鑰來保護自己免受黑客攻擊。谷歌公司宣佈其85,000名員工已經設法在一年多的時間裡沒有因為強制的安全設備而被釣魚,現在谷歌公司正式推出了自己的物理安全密鑰。
週三,該公司宣佈了新的 “泰坦安全密鑰” (Titan security key),這是一種通過對物理世界進行雙因子身份驗證來保護賬戶的設備。它分為USB閃存和藍牙兩個版本,與Yubico和Feitian的類似產品一樣,它利用了FIDO聯盟批准的協議。這意味著它將與幾乎所有允許用戶打開通用雙因子身份驗證(U2F)的服務兼容。
大家都應該熟悉基本的雙因素身份驗證,就是在標準密碼之上添加額外的安全層。您可以請求一條文本消息或使用驗證器應用程序生成一個代碼,輸入該代碼才可以訪問您的帳戶,這有助於降低被騙交出密碼的風險。但是這種技術仍然可以被黑客規避。
U2F更進一步,要求插入到您的計算機中的USB設備或接近您的設備的NFC設備進行進一步的驗證。谷歌也率先在U2F中使用藍牙(BLE)。不過,撇開藍牙不談,目前還不清楚谷歌的產品與競爭對手究竟有何不同。
該公司表示,Titan Security Key 可以讓您更加放心,您的帳戶將受到額外的增強保護,Google保證物理密鑰的完整性。因此,最重要的是,Google就是在利用品牌的影響力來推銷此產品,Google推測你一定不想從一個未知的來源購買這種密碼裝備。
然而,Yubico是該技術的先驅,是製造U2F設備以及進一步完善其協議的主導力量。它將Facebook等主要公司列為其商業客戶。谷歌也是Yubico的客戶,這兩家公司多年來一直致力於開發FIDO標準。
繼今天公佈 Titan鑰匙之後,Yubico首席執行官Stina Ehrensvard也撰寫了一篇博文,其中略微批評了谷歌的新產品。 Ehrensvard 堅持認為Yubico的每個人 “都是開放標準的真正支持者” ,並歡迎所有新的競爭對手。但是,如果用戶想要決定是否想要使用Titan,她會特別提出幾點讓用戶記住。她在博文中寫道:
Yubico堅信,通過在美國和瑞典制造和編程我們的產品,我們的客戶可以獲得安全和隱私優勢。
Google的產品包括支持藍牙(BLE)的密鑰。雖然Yubico之前已開始開發BLE安全密鑰,併為BLE U2F標準工作做出了貢獻,但我們決定不推出該產品,因為它不符合我們的安全性,可用性和耐用性標準。 BLE不提供NFC和USB的安全保證級別,並且需要電池和配對,這提供了糟糕的用戶體驗。
谷歌拒絕回應Ehrensvard提出的問題。她關於製造Titan的國家的觀點有點令人困惑,她似乎試圖說谷歌的設備是在一個可能讓密碼安全受到損害的國家制造的。
Yubico的發言人指出了美國計算機應急響應小組最近的警告,藍牙設備可能包含一個漏洞,允許攻擊者訪問您的數據。 Yubico表示,它專注於近場通信(NFC)而非藍牙,並計劃很快 “宣佈另一個安全且用戶友好的iOS解決方案”。
說到用戶友好的解決方案,U2F的方案一般來說有點痛苦和麻煩。 通過對 Titan鑰匙的實際使用測試,發現當用戶在辦公室忘記了攜帶鑰匙時,他們被鎖在賬戶之外。他們建議您與Google一起設置備用驗證,該驗證會發送通知,讓您將帳戶恢復到受信任的設備。但谷歌相信大多數人都非常善於記住他們的房子或汽車的鑰匙,並且攜帶它們,而且在一段時間後記得攜帶記得攜帶這些鑰匙會成為成為人們的第二天性。
谷歌目前這樣做,也是試圖將這種攜帶物理密鑰的習慣納入到人們的第二天性中。 Titan 似乎主要是為了傳播公眾意識並圍繞安全做一些品牌建設。 今年早些時候,谷歌感嘆只有10%的Gmail用戶啟用了雙因素身份驗證。
Google Cloud客戶已經可以通過他們的Google代表訂購 Titan密鑰,該公司表示他們很快就會以20美元到25美元的價格向所有人開放,這是一個相當標準的價格,如果你對自己的賬戶安全十分重視,也許這是一個不錯的選擇。
歡迎大家來此拍磚吐槽!
閱讀更多 靈瞳視界 的文章
