口令管理器廠商Dashlane，是利用英特爾第8代Core芯片一個鮮為人知功能的首批公司之一。這個鮮為人知的功能是什么呢?在PC上啟用雙因子身份驗證，不是手機(jī)，是PC喲~

被稱為通用第2因子(U2F)身份驗證的功能，存在于第8代Core架構(gòu)中。雙因子身份驗證(2FA)作為電子郵件、在線儲存及其他數(shù)據(jù)的額外安全措施已倡議多年的，通常需要通過App或短信給手機(jī)發(fā)送驗證碼來實(shí)現(xiàn)。英特爾第8代Core架構(gòu)及其相關(guān)軟件，則取消了對手機(jī)的依賴，僅需要你點(diǎn)擊軟件“按鈕”來驗證2FA事務(wù)。

技術(shù)上講，U2F支持并不新鮮。英特爾第7代Core芯片Kaby Lake，就引入了被稱之為軟件防護(hù)擴(kuò)展(SGX)的技術(shù)。SGX基本上就是芯片上的一個受保護(hù)區(qū)域，用于存儲加密密鑰。但只有2個服務(wù)宣稱支持SGX：Dropbox和Duo Security——今年早些時候剛放出了概念驗證。

Dashlane戰(zhàn)略合作經(jīng)理艾莉森·貝克稱，一旦第8代Core芯片發(fā)售，Dashlane將馬上可以利用該內(nèi)置功能，將U2F用作額外的身份驗證形式。她確認(rèn)，U2F在第8代Core芯片中對消費(fèi)者可用，無需英特爾的商用vPro技術(shù)。

除了一臺兼容英特爾的PC，你不需要手機(jī)或者其他什么東西。

為什么這很重要?PC被入侵是件很糟糕的事，這也是 Windows Hello、用戶PIN碼和Windows口令存在的原因。然而，隨著Web服務(wù)隨處可得，我們需要第2安全層來將自己與壞人區(qū)別開來。雙因子身份驗證有助保護(hù)這些在線交易的安全;U2F承諾讓它們不再那么惱人。

U2F在英特爾Core芯片中怎么運(yùn)作

FIDO聯(lián)盟發(fā)展了開放身份驗證標(biāo)準(zhǔn)U2F，旨在幫助簡化雙因子身份驗證。要注冊類似Dashlane這樣的在線服務(wù)，需要創(chuàng)建兩個“密鑰”：一個公鑰——注冊到服務(wù)本身;一個私鑰——存儲在客戶PC的Core芯片中。

貝克稱，客戶端用私鑰簽署一個斷言，供該服務(wù)驗證其來自客戶端PC。但僅在用戶點(diǎn)擊英特爾“在線連接(Online Connect)”中間件在屏幕上顯示的按鈕，驗證了其存在之后，該簽名才會發(fā)布。英特爾數(shù)年來都忙于研究PC安全解決方案;去年，英特爾推出了其Authenticate技術(shù)，綜合了指紋、PIN碼、配對手機(jī)和其他技術(shù)。

Dashlane用于展示該過程的一幅GIF動圖顯示，用Dashlane進(jìn)行身份驗證，需要輸入你的口令。然后，英特爾Online Connect會查找安全密鑰。觸發(fā)密鑰發(fā)送動作后，需要點(diǎn)擊另一個窗口中隨機(jī)出現(xiàn)的一個按鈕，該點(diǎn)擊要在15秒內(nèi)完成。該窗口采用了英特爾“受保護(hù)交易顯示”技術(shù)，直接從英特爾芯片本身生成屏幕顯示。用戶能看到該按鈕，而中間人攻擊者則只能看到一個空白黑框，不知道該點(diǎn)擊哪里。

不過，U2F似乎更為強(qiáng)調(diào)用于防衛(wèi)PC的第一道安全防線：Windows Hello、PIN碼，或口令。即便攻擊者能在你離開電腦去買咖啡期間成功猜出你的PIN碼，他們依然需要知道你的Dashlane主口令才可以登錄。但有了基于手機(jī)的傳統(tǒng)雙因子身份驗證加持，像Dashlane這樣的服務(wù)還會給手機(jī)發(fā)消息，提示你有攻擊正在進(jìn)行。

然而，無論如何，Dashlane一類的服務(wù)，正準(zhǔn)備利用英特爾Core芯片內(nèi)置的U2F功能。口令一度足以防護(hù)安全，但反復(fù)使用復(fù)雜難猜的口令會令人很是痛苦。在不造成用戶太大負(fù)擔(dān)的基礎(chǔ)上提供安全，是安全服務(wù)的努力方向，而英特爾及其合作伙伴，正在走向快速方便的安全方法。