安全密钥为您的在线帐户提供额外的保护层,但部分人不想使用因为每个密钥需要支付高达
20到50美元的费用。因此谷歌在运行Android 7.0+的手机中构建了免费版。
安全密钥的工作原理
安全密钥可以阻止复杂的网络钓鱼攻击,从而保护您的帐户,但每个密钥需要支付20到50美元。这是该技术尚未被广泛采用的一个重要原因,但谷歌希望通过让您的Android手机充当安全密钥来改变这一现状。
周三,谷歌开始为拥有运行Android 7.0及更高版本的智能手机的用户提供该服务。内置安全密钥的功能类似于基于硬件的安全密钥,但它是免费的。
使用此功能时,当您在PC上输入密码登陆账户时,将向手机发送通知,系统会要求您确认是否要登录,拥有此功能的Android手机将通过蓝牙向PC签署身份验证请求,解锁并登陆您的帐户。对于那些在PC上登录Google帐户时就已经使用双重身份验证的用户,此过程也会非常简单。
额外的安全层旨在确保只有您可以登录到您的帐户。目前,该技术仅适用于Google和G Suite帐户。它还需要支持蓝牙和Chrome浏览器的PC。但Google的目标是将此技术引入其他浏览器,包括Firefox和Safari,以及第三方网站。
试图消灭密码
Google产品经理Christiaan Brand表示:“我们希望尽可能广泛地使用这项技术”。Google的解决方案使用的是FIDO 2标准,其工作方式类似于物理安全密钥; 您的手机将存储加密密钥,可用于签署身份验证请求,以解锁指定的在线帐户。
该解决方案抵御网络钓鱼的原因是:安全密钥永远不会通过互联网传输您的加密密钥。该技术仅签署来自官方帐户提供商的身份验证请求。因此,即使是类似黑客技术那样的钓鱼网页也无法获取安全密钥。
为什么谷歌选择Android 7.0及以上
因为操作系统版本需要使用所谓的可信执行环境(TEE),这是手机处理器的一个隔离区域。通过TEE,手机可以存储和处理您最机密的信息,例如加密的指纹数据,并且这些信息是不会离开用户手机的。
Brand表示,在大多数情况下,Google的内置安全密钥将利用TEE存储加密密钥信息。另一方面,该公司的Pixel 3设备将加密密钥存储在谷歌定制的Titan安全芯片中,该安全芯片也与手机的主处理器分开。
目前,您只能使用一部Android手机充当您的物理安全密钥; 如果您有新手机,则必须退出旧手机并在新手机上进行设置(很好奇万一旧手机掉了或者坏了怎么办,你对此有什么看法?)。
你应该相信Google吗?
有些人可能对谷歌的最新安全解决方案持怀疑态度。毕竟,该公司的Android操作系统并未免受恶意软件威胁或危险的软件漏洞攻击。但谷歌产品经理表示如果要让这些软件实际访问你的手机则必须让内置安全密钥解决方案妥协,如果发生这种情况,无论如何你都会遇到麻烦。
“这里的重点是网络钓鱼问题已经得到解决,”布兰德表示,“第二个问题可能是:’比如,现在我有一个插入电缆的攻击者,并且对Android 7.0攻击,我们可以将手机的文件从闪存驱动器中取出。’’
谷歌产品管理总监Sam Srinivas补充说:“太多人继续使用密码来保护他们的帐户,真正的威胁是坐在3000英里以外的人,他向你发送了一个虚假的登录页面。这就是我们真正要防范的:
远程攻击,这真的是明确而现实的危险,”但是许多其他网站,如银行的网站,仍然不提供安全密钥保护。一些网站只提供双重身份验证系统,通过SMS生成一次性密码,在某些情况下也可能不安全。但Srinivas表示,他希望谷歌的内置安全密钥解决方案最终成为整个行业的标准。
我为什么要使用安全密钥?
该解决方案代表了对现有双重身份验证(2FA)系统的重大升级,谷歌和许多顶级互联网公司已经提供这些系统。2FA通常要求您输入密码和特殊的一次性密码,可以通过智能手机通过短信或应用程序生成密码。因此,如果您的密码被猜到或被盗,黑客仍然无法入侵。
不幸的是,2FA并不完美。黑客已经表明他们可以通过官方网络钓鱼电子邮件欺骗受害者交出一次性密码。
安全密钥,它的工作方式类似于双重身份验证,但是是通过物理设备交换一次性密码,攻击者必须通过该密码来访问您的帐户。包括Google,Facebook,Twitter和Dropbox在内的公司都为其帐户提供安全密钥保护。
Google非常喜欢这个解决方案,2017年它决定为所有员工提供安全密钥。从那时起,他们没有遇到与工作相关的账户被攻击。去年,谷歌也开始以50美元的价格销售自己的“Titan”安全密钥产品。
但是,尽管有Titan,谷歌的商业客户一直在寻求一种方法,将安全关键技术带给更多自己的员工。作为回应,Google公司选择了智能手机,因为大多数人都会随身携带智能手机。
要使用内置安全密钥完全保护您的Google帐户,您需要进入安全设置并删除已启用的任何其他双重身份验证(例如短信一次性密码,Google提示)。但是现在谷歌的内置安全密钥目前仅适用于具有蓝牙功能的Windows 10,macOS和Chrome OS设备。
对此你怎么看?就像上文所说要是手机丢了或坏了那该怎么办?你有用过双重身份验证吗?你能预测一下双重身份验证和安全密钥未来趋势吗?你觉得安全密钥和双重身份验证有什么弊端?留下你的看法,我们一起讨论!
每个人都有各自的不同的看法和意见,让我们保持友好的态度,保持实际而不是意识形态。
閱讀更多 Tech家 的文章
