现在许多网站采用二阶段认证方式,保护消费者不被钓鱼讯息或者中间人攻击的威胁。如今有业者要让消费者更方便,甚至不用输入安全码,只要插入支援的 USB 硬件密钥,让上面的指纹辨识装置辨识就能完成认证。社交 coding 网站 GitHub 与安全防护厂商 Yubico 一起合作,GitHub 在其年会 GitHub Universse 宣布支援 U2F 二阶段认证,借由 Yubico USB 密钥提供的实体认证机制,按一下扫描指纹确认身份,更加保护使用者安全。
这次 GitHub 支援 FIDO 的通用二阶段认证 (Universal 2nd Factor,U2F),采安全密钥方式全方位保护。目前采用 U2F 机制的网站,像是入口网站、邮件网站、购物网站,通常登入后还会用手机传送安全码,使用者收到后要输入这组安全码才能继续使用该网站。而用 Yubico 的服务不用手指输入安全码,只要插入有安全机制的 USB 密钥,USB 会透过指纹确认身份,由于本身 USB 就有密码,身份确认后就能登入服务,用实际的硬件方式完成二阶段认证安全机制。
GitHub Supports Universal 2nd Factor Authentication from Yubico on Vimeo.
各位可能觉得很奇怪,GitHub 不是开源专案分享程式码的地方,怎么会怕有人冒用身份呢?这就要谈到 GitHub 的商业模式了,GitHub 提供公司、个人订阅服务功能,能够在 GitHub 开私人专案,供开发者在上面开发程式,只有专案相关的人才能接触。换言之,GitHub 可说是 PaaS,提供协同作业的平台,有公开的也有锁权限的专案。在私人专案的状况,保护使用者身份就变得很重要了,我们都不希望有不速之客闯入,偷改或是偷取程式码。
GitHub 目前全体 1,100 万用户,有 30 万用户采用二阶段认证机制。GitHub 希望提高二阶段认证的使用人数,与 Yubico 合作,让前 5,000 名买家能用优惠价格 5 美元,购买 Yubico 的实体安全钥匙。
不过 U2F 认证机制有个问题,目前只支援 Chrome 浏览器,也不支援手机,而且也得购买 USB 密钥才能使用。未来 U2F 能用在不同的平台才有可能更普及。
延伸阅读
- FIDO 认证机制,让你不用记一堆密码简单搞定登入服务
- Google 推出便于使用、安全更佳的 USB 安全密钥
相关连结
- GitHub Launches Support For U2F Security Keys
- GitHub Pushes Real Buttons to Make the Internet More Secure
