Google 为何推出比手机验证码更安全的安全金钥

2020-08-14 作者 : 浏览量:910

两步骤验证是近几年相当普遍的验证方式,藉由传送验证码到手机的方式让帐号安全多一道防线,但是手机验证码仍然有被窃取的可能,因此 Google 今天推出「安全金钥(Security Key)」提供更高层级的帐号安全防护,使用者只要购买符合 FIDO 通用第二要素 (U2F) 开放式标準相容的装置并使用 Chrome 38 以上版本即可使用安全金钥。

为什幺手机验证码仍不安全?

目前採用手机验证码的两步骤验证方式是由系统寄送登入验证码到帐号持有人的手机,透过该验证码和原本的帐号密码就可登入帐号,但有不法人士设计与 Google 外观相似的网站骗取使用者输入帐号密码与验证码突破第二阶段的防护。

Google 为何推出比手机验证码更安全的安全金钥

手机验证码登入方式

为什幺安全金钥更安全?

Google 安全金钥使用的 FIDO U2F 安全认证机制是一种可以让使用者快速登入的服务,透过 FIDO、装置与目标帐号三者间的互相认证达成更安全快速的登入体验。

Google 为何推出比手机验证码更安全的安全金钥

安全金钥登入方式

在讲安全之前先搞懂 FIDO U2F 验证过程,但为了避免太过艰深我直接举个例子:

Google 为何推出比手机验证码更安全的安全金钥

安全金钥验证机制图

依这个例子,把角色置换如下:

Google:巡查官兵FIDO 下达给安全金钥和验证伺服器:订定口令的主官登入 Google 的使用者:不明人士

于是故事就可改编成这样:

那幺安全性在哪?

首先启用安全金钥的两步骤验证后,就算有持有正确的帐号密码也无法登入帐号,这是两步骤验证对帐号的基本防护,但不法人士可透过其他方式取得手机验证码后登入帐号。

安全金钥与验证码不同的地方在于只有通过 FIDO 许可的网站才能使用它,因此任何变造的网站都无法让安全金钥生效。除此之外,金钥本身不会产生认证码,而是透过加密技术将金钥内的加密资讯送到 FIDO 的加密伺服器比对,比对成功才能进行登入。

简单的说:不法人士可以做假网页骗你,但它们无法骗过 FIDO。

「如果安全金钥遗失了怎幺办?资料会被偷吗?」你可能会有这个疑问,答案是:掉了就掉了,登入 Google 把金钥移除就好,安全金钥本身并不会储存帐号资讯,不须担心资料的问题,而且即使金钥遗失,使用者仍然可透过验证码的方式登入帐号,等到购入新的安全金钥后再进行设定即可。

「假如手机和安全金钥都丢了怎幺办?」先想一下,掉在路上的房子钥匙被捡到之后就能马上闯进房子吗,当然不行,至少要得知道房子是哪一栋吧!所以当这两样物品同时遗失的状况下,最后防线还有你的帐号和密码,这样明白了吗?

如何使用安全金钥

要使用安全金钥,您的电脑必须搭载 ChromeOS、Windows、Mac OS 或 Linux 作业系统,并且执行 Google Chrome 第 38 版或更新版本。

安全金钥只要购买相容「FIDO 通用第二要素 (U2F)」的开放式标準相容的装置即可。

安全金钥设定方式

打开 Google 两步骤验证的安全金钥设定页面,依照网页指示新增即可。

Google 为何推出比手机验证码更安全的安全金钥

Google 为何推出比手机验证码更安全的安全金钥