Google 今天發布了一項利用 USB 安全密鑰來增強兩步驗證的功能。在確認登陸網站的確是 Google 網站之后,用戶只需插入該 USB 安全密鑰,在收到瀏覽器提示的情況下按一下按鈕即可完成安全認證,整個過程不需要輸入密碼。不過這項功能僅對 Chrome 瀏覽器(38 版及以上)有效。
兩步驗證是 Google 很許多互聯網公司的一種提高賬戶安全的手段。用戶在輸入用戶名和密碼登陸 Google 賬戶之后,還需要輸入通過短信、語音電話或移動應用收到的驗證碼這一額外驗證手段來保證安全。而安全密鑰就相當于這種額外的驗證手段。
根據 Google 的解釋這種增強的兩步驗證有兩個優點:
首先是能更好地防止被釣魚。以往的兩步驗證中 Google 會向用戶的手機發送驗證碼。但是有些狡猾的攻擊者會設立一些仿冒的網站來讓你提供驗證碼給他們而不是 Google。而安全密鑰可以更好地防護這種攻擊,因為密鑰使用的是密碼而不是驗證碼,而且在網站合法的情況會自動工作。
其次是不需要移動連接或者電池。安全密鑰不需要數據連接也能工作,而且可以隨身攜帶。
不過,其代價是用戶需要向 Google 的Universal 2nd Factor(U2F)合作供應商購買 USB 安全密鑰。
U2F 是 Google 發起的一項旨在推廣通用的第二安全因子的項目。去年 2 月,Google 加入了致力于為互聯網安全打造高效、便捷、開源的安全解決方案的FIDO((Fast IDentity Online)Alliance,PayPal、MasterCard、聯想、LG 電子及 NXP、Yubico 均是聯盟成員。由于 FIFO 采用了 U2F 作為其標準協議,因此其他需要登錄系統的網站也可以使用這項功能。
雖然目前該安全密鑰僅支持 Chrome 瀏覽器,但 Google 希望其他瀏覽器不久也能增加對 FIDO U2F 的支持。其終極目標是讓人人攜帶一個安全密鑰就能隨處工作。
京公網安備 11010502049343號