Google 声称用了 USB 密钥之后，八万多员工不再被骇

用密码保护各种不同的网络账号，是相当平常的事情，但密码太复杂会忘记，太简单容易猜测或拦裁而被偷走。如何确保便利和安全是相当重要的事情，如今 Google 采用 USB 密錀的方式保护公司员工的账户，既有相当严谨的安全性，也让员工方便操作。

自从 Google 采用 USB 密錀之后，我们再也没有任何账号被夺走的事情发生了。视 Apps 的机敏程度和当时使用者面临的风险，使用者常需要用他们的 USB 密钥认证他们使用的不同 Apps，不同的事由。

USB 密钥认证机制与既有的密码系统结合，成为两阶段认证的其中一个过程，特定的 USB 透过 Universal 2nd Factor（U2F）机制，让使用者能够在输入密码之后，只要插入 USB 密钥到 USB 插槽内，就可以完成两阶段认证。

在 2017 年之后，Google 还未采用 USB 密钥的两阶段认证，而是员工输入密码之后，再由 Google 传送一次性的密码到使用者的手机装置上，再由员工输入屏幕上的输入框中，完成登入程序。

市面上已经有 Chrome、Opera 漤览器支援 U2F 机制，而 Firefox Quantum 则需要动设定才能支援，而微软 Edge 浏览器则计划在新版本推出，苹果则未决定是否在 Safari 浏览器加入支援。在网站服务方面则有 Github、Gitlab、LassPass，社群网站 Facebook 还有网络硬盘 Dropbox。目前由 FIDO 制订 U2F 的规范，而除了支援的网站、服务之外，Yubikey 则生产 U2F 机制所需要的 USB 密钥，提供给包括 Google 等公司行号、组织或是个人。

FIDO 联盟与万维网协会 (World Wide Web Consortium，W3C)，共同制订 Web Authentication API──又称 WebAuthn，能增加网站的安全性，避开身份认证所需要的输入密码过程，从而避免被用中间人手法窃取使用者密码。

尽管用 U2F 机制的 USB 密钥相当安全，才能使用 Google 共 89,000 位员工不被骇客的社交工程手法骗到账号控制权，但其实设定上有点麻烦。而尽管 Yubikey 生产的 USB 密钥只要 20 美元，也得刻意去买才能取得。如果还不想用 U2F 机制，Google 号称最强的进阶保护计划，至少开始用 SMS 传送一次性密码的两阶段认证机制，保护手上的 Google 账号。

• Google: Security Keys Neutralized Employee Phishing
• Google’s 89,000+ employees have had zero phishing incidents since switching to hardware security keys in 2017
• None of Google’s 85,000 employees have been successfully phished in over a year — and it’s because of a simple $20 product anyone can use