- A+
一、介绍
2014年10月22号,谷歌发布了Security Key,一种USB key形式的两步验证(two-step verification)的方法。如果用户选择该项服务,需要在登录之前插入USB key到自己的计算机上。它有望使谷歌账户更加安全,但需要用户能够真正的使用它。
到目前为止,启用两步验证的谷歌用户被要求在登录时输入他们手机上的验证码。而使用SecurityKey,可以从第三方零售商购买,用户在输入密码的同时需要把USB key插入到他们的计算机上。
据谷歌声称,SecurityKey比以前的方法更为安全,因为只有验证登录站点是真正的谷歌页面才能够工作。
二、问题
1.USB key的遗失
有一个问题就是:如果你弄丢了USB Key,会造成什么影响?安全协依赖于一个在口袋中叮当乱响的小玩意,对经常丢三落四的马大哈来说并不是什么好主意。不必担心,更换Security Key的费用不会超过10$,丢失USB key不会造成什么安全隐患或麻烦。你仍能够利用发送至手机的验证码来访问你的谷歌账户,而USB key本身并不包含关于你或你账户的信息。没有密码,USB Key也是无效的。
Security Key采用了FIDO联盟研发的技术。FIDO联盟是一个技术联盟,其成员包括谷歌、Paypal和联想。该联盟有一个明确的目标,推动世界从基于密码的认证方法迁移到基于设备的认证方法。同时,他们希望通过“行业计划推动世界范围内的普及”。随着谷歌的加盟,也似乎证实了FIDO的工作是卓有成效的。
Freebuf科普
FIDO联盟:密码安全认证联盟是由PayPal和联想等公司联合成立的“FIDO联盟”,发布了一系列技术标准旨在有效降低人们对密码的依赖程度,让网络帐号安全更上一个台阶。根据FIDO联盟的标准,采用物理密令的方法来登陆帐户,在密码的验证过程中,密令设备将起到更加关键的作用。
当然,SecurityKey的成功取决于用户是否真正地使用它。目前,谷歌主要将这款产品面向对安全特别敏感的人群。然而,谷歌对两步验证和FIDO联盟的会员制度的长期推动也点亮了更广泛采用的希望。
2.用户的接受程度
普通人是否懒得随身携带一个物理Key来登录邮箱?
即使斯诺登事件、好莱坞艳照门、Snappening等一些列事件把人们对安全的关注推向了一个前所未有的高度,普通人是否懒得随身携带USB key来登录邮箱?来自丹麦技术大学应用数学与计算机科学的博士后研究员ArkadiuszStopczynski认为情况确实如此。
三、总结
“不管外在形式是一个独立的USB key,手机上的安全芯片,还是可穿戴设备的一部分,双因素的基本概念-你所知道的和你所拥有的-将会迅速普及起来” Stopczynski告诉我“谷歌的目标是从密码登陆迁移至设备登录”。
现在情况来看,像谷歌和苹果这样的市场大玩家都积极地向更安全的两步验证靠拢,而Security Key只不过是长期推动过程中的一个最新进展。如果不被用户的懒惰所击败,加上正确的包装和市场营销,两步验证正在缓缓起航。
[参考信息来源motherboard.,内容有所删减,尽量保留了原文本意。译自Rabbit_Run,喜欢文章请点赞鼓励。转载请注明来自FreeBuf.COM]
- 我的微信
- 这是我的微信扫一扫
- 我的微信公众号
- 我的微信公众号扫一扫