谷歌声称,使用小小的USB盘比仅使用密码或传统的双因子认证更能保证用户账户的安全。
谷歌表示,使用如图片所示的这种安全密钥再加上密码能够更好地保证网络账户的安全。
密码的技术缺陷和人们使用密码的方式是造成许多计算机安全事件的根源,而选择谷歌的最新安全升级需要在设备的钥匙串上留出安全密钥的位置。
这种小巧的USB盘能够为谷歌账户提供额外的保护。一旦密钥与你的账户关联,每次你用密码登录时都会提示你将密钥插入计算机——或者,如果你也可以在你常用的计算机上每个月插入密钥一次。触动安全钥匙上的按钮就会触发与谷歌登录系统的密码进行交换从而进行身份验证。安全密钥可以从几家与谷歌合作的安全硬件公司购买,价格不到20美元。
这项新技术主要针对的是安全意识。但是相关的技术为实体设备彻底取代密码提供了基础,谷歌安全工程师马岩克·尤帕德亚(Mayank Upadhyay)如是说。因为账户被盗用常常是因为密码被盗或被猜出,所以谷歌在研究取代密码的方法上已经耗时良久。
尤帕德亚说:“这不但是迈向解决当前问题的伟大的第一步,而且也促进了整个生态向网络安全的“圣杯”前进。”他在谷歌的工作是主持测试用其它实体设备,如智能手机,甚至或者一件首饰,是否能够取代密码。今年夏天,谷歌宣称,其能够让你的智能安卓手机靠近Chromebook笔记本时,自动解锁Chromebook笔记本并登陆谷歌账户。
实体安全密钥提供了一种更安全的双因子认证模式,一些网络公司和许多银行已经推出了双因子认证服务,用户登录时需要输入密码以及与用户持有的实体绑定的临时代码。通常,双因子认证代码通过手应用程序(app)、短信或密钥卡获得。
设计这项技术是为了防止网络黑客远程登录你的账户。打比方说,如果苹果为iCloud备份服务提供双因子认证,人们使用这项技术就能抵御今年夏天黑客*取盗**名人照片时所使用的方法。(苹果因此已发布了这项技术。)
尽管如此,老练的黑客还是有能力破坏双因子认证。他们可以通过拦截短信、黑掉智能手机或者入侵生成认证代码的中心数据库来*取盗**或破坏认证代码。
有证据显示2011年就发生了一起类似事件,黑客利用安全漏洞攻击了国防承包商洛克希德马丁公司的RSA的SecurID认证系统。谷歌有许多极易受黑客攻击的目标用户还在使用现有的双因子认证系统,这并不安全,尤帕德亚说,“我们已经见识过各种各样的黑客攻击。”
像谷歌公司这样的安全密钥可以抵卸远程攻击,这是因为复制密钥所需的信息只能通过实体攻击那把密钥内的安全芯片才能获取。双因子认证已经广泛用在公司网络上。从明年初开始,向谷歌公司付款购买电子邮件服务和办公软件的公司就能够让其员工使用安全密钥来访问这些服务。
洛里克·兰诺是*耐基卡**梅隆大学网络实验室可用隐私和安全实验室的主任,她说,那些已经使用双因子认证的人会使用实体安全密钥,但除此这外,不太可能有更多的人使用这一技术。但是合适的推广和包装有可能让这项技术获得更广泛的应用。她说:“对于一些不太熟悉计算机安全知识的人来说,他们还是能够明白实体密钥是用来锁住他们的账户,保护账户安全的。”
如果谷歌以外的其他公司选择使用这项技术,现在购买的实体安全密钥也将与其他公司的服务兼容。
安全密钥基于U2F开放标准构建,这种标准由线上快速身份验证联盟(FIDO)开发。线上快速身份验证联盟(FIDO)是一个致力于减少对密码的依赖性的行业协会。
Yubico公司是一家销售安全密钥的创业公司。该公司的首席执行官斯蒂娜·厄伦斯瓦尔德(Stina Ehrensvärd)表示,联盟的技术对该项技术的广泛使用是很好的激励。她说:“谷歌公司能够走出去展示他们的研究成果,这种做法相当不错,我期待更多公司跟随他们的脚步,因为这很容易做到,而且,线上快速身份验证联盟(FIDO)也允许竞争。”
厄伦斯瓦尔德表示,未来的实体安全密钥也将和移动设备兼容,因为最终的U2F标准将规定,密钥可以包括大多数新智能手机可无线读取的非接触近场通信(NFC)芯片。
此文由MIT Technology Review 中国大陆地区独家授权,更多精彩内容请搜索官方微信“mit-tr”,同我们一道关注即将商业化的技术创新,分享即将资本化的技术创业。