Google 今天发布了一项利用 USB 安全密钥来增强两步骤验证的功能。在确认登录网站的确是 Google 网站之后,使用者只需插入该 USB 安全密钥,在收到浏览器提示的情况下按一下按钮即可完成安全认证,整个过程不需要输入密码。不过这项功能仅对 Chrome 浏览器(38 版及以上)有效。
两步骤验证是 Google 很许多网络公司的一种提高账户安全的手段。使用者在输入用户名和密码登录 Google 账户之后,还需要输入通过简讯、语音电话或行动应用软件收到的验证码这一额外验证手段来保证安全。而安全密钥就相当于这种额外的验证手段。
根据 Google 的解释这种增强的两步骤验证有两个优点:
首先是能更佳地防止被钓鱼。以往的两步骤验证中 Google 会向使用者的手机发送验证码。但是有些狡猾的攻击者会设立一些仿冒的网站来让你提供验证码给他们而不是 Google。而安全密钥可以更好地防护这种攻击,因为密钥使用的是密码而不是验证码,而且在网站合法的情况下会自动运作。
其次是不需要行动装置连结或者额外电力。安全密钥不需要网络连接也能工作,而且可以随身携带。
不过,其代价是使用者需要向 Google 的 Universal 2nd Factor(U2F)合作供应商购买 USB 安全密钥。
U2F 是 Google 发起的一项旨在推广通用的第二安全方案的专案。去年 2 月,Google 加入了致力于为网络安全打造高效、便捷、开源的安全解决方案的 FIDO(Fast IDentity Online)Alliance,PayPal、MasterCard、联想、LG 电子及 NXP、Yubico 均是联盟成员。由于 FIFO 采用了 U2F 作为其标准协议,因此其他需要登录系统的网站也可以使用这项功能。
虽然目前该安全密钥仅支援 Chrome 浏览器,但 Google 希望其他浏览器不久也能增加对 FIDO U2F 的支持。其终极目标是让人人携带一个安全密钥就能随处工作。
- Strengthening 2-Step Verification with Security Key
(本文由 36 Kr 授权转载)
