实体密码锁或许就是网络钓鱼攻击的克星
实体密码锁或许就是网络钓鱼攻击的克星//河北龙网 http://www.hebeilong.com
实体的安全密码锁(security key)真有比其它身份认证方式更加安全吗?何不听听 Google 怎么说。根据专注于网路犯罪、安全题材的新闻博客 Krebs on Security 报导,自从 2017 年,Google 要求旗下 85,000 名员工使用实体的安全密码锁取代传统密码作为身份认证手段,至今所有的帐户都未受到任何网路钓鱼攻击的侵害。Google 的发言人除了证实这项消息也解释,基于处理不同应用程序所涉及的机密程度,和使用者当下可能面临的风险,员工的确会在特定的环节中,被要求使用实体的安全密码锁来进行身份认证。
使用这类实体的安全密码锁其实十分简单,像 Yubikey 这样的产品,你只需要在登录网站时将其插入,按下按钮,就完成了,免去你输入冗长的密码麻烦。虽然这类实体产品依然有它的缺点,例如你可能会弄丢它,但安全性上,它甚至比现在常见的「双重认证」(像是输入密码+简讯认证)还更有保障,毕竟对于骇客来说,拦截发送到手机的讯息并非不可能的事。
遗憾的是,这类 Universal 2nd Factor(U2F)实体安全性密码锁,目前支援仍十分有限。时至今日, Chrome 已提供支援,而 Firefox 需经过设定才能使用,微软的 Edge 预计在今年稍晚的更新后提供支援,Apple 的 Safari 则是没有任何相关消息。况且,即使你搞定了浏览器,目前也仅有少数网站和服务可以透过它进行身份认证,包括 Facebook 和 Keepass、LastPass 等密码管理服务。Google 的正面经验是否能帮助这项技术顺利发展,目前仍有待观察,但这消息对相关厂商来说,想必已经是一剂久违的强心针啦。