沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

钓鱼网站终极杀手:Google把安全密钥封装进“U盘”

谷歌上周发布了一项新的安全保护措施,这项新的安全保护措施采用了特殊的USB安全密钥,旨在为用户提供更安全的数据保护。

这项可选的安全密钥技术在操作过程中只需要额外的两个简单步骤:1、把特殊的安全密钥插到电脑的USB接口;2、按下确认键,之后Chrome用户会收到谷歌系统发送至手机或邮箱的验证码,用户必须输入这个验证码来完成整个安全信息验证过程,最后登陆账户。这个两步验证简单又安全,适合那些对账户安全有着格外敏感要求的用户。

不过,选择采用这项安全密钥技术的用户将不得不向合作供应商购买一个价值不超过20美元的USB安全密钥设备。

“与输入一串密码不同,你只要将安全密钥插入到电脑的USB接口,在Chrome浏览器出现提示后按下确认键,”谷歌安全的产品经理Nishit Shah在一篇博客中写道,“当你通过Chrome浏览器和安全密钥登陆你的谷歌账户后,你完全可以不用担心你的密码凭证会被网络钓鱼技术截取。”

谷歌先前曾发起过一项旨在推广通用的第二安全方案的专案,简称U2F。这次,谷歌推出的这项安全密钥技术则是FIDO联盟采用该标准后的首次公开尝试。FIDO联盟,全称“线上快速身份验证联盟”,旨在通过开放技术提供更好的网络安全服务,目前该联盟已有120多家公司加入,其中包括微软和谷歌。值得注意的是,苹果暂未加入FIDO。对于任何支持FIDO联盟安全密钥技术的服务商,用户可以使用同一个的USB安全密钥来安全登陆账户。

对于谷歌发布的这款产品,FIDO给予了大力支持。“毫无疑问,一个崭新的时代即将到来,”FIDO联盟的主席迈克尔巴雷特(Michael Barrett)在一份声明中感叹,“我们正在努力鼓励用户和服务提供商放弃使用单一的密码验证方式,转而使用更加安全、隐秘,容易使用的FIDO验证。”

安全密钥技术的硬件设备——USB安全密钥,外观上是一个塑料薄片,内部包含一个处理加密密钥的芯片和能够与电脑USB接口对接的信息槽,整个硬件的成本不超过20美元。另外根据FIDO联盟的协议,这个USB安全密钥可以应用于其他支持U2F安全协议的应用。安全密钥内置的处理芯片,通常被称为“安全元素”——是在智能卡片应用和安全存储以及加密密钥处理方面广泛使用的硬件组件。在使用该安全密钥初次注册服务提供商的过程中,会生成一组加密密钥:一串公共钥匙发送给提供商,一串私人钥匙由用户的安全密钥存储。当使用支持该项技术的浏览器时,网站会向安全密钥发送一个加密请求,由安全密钥根据加密密钥解密后再加密回复。

可以看到,在许多方面,安全密钥与银行和商家用来打击信用卡盗窃的“芯片密码”(chip-and-PN)技术有相似之处。

线上安全密码保护提供商Yubico的副总裁Jerrod Chong说,通过使用密钥和支持该功能的浏览器和服务,几乎所有的网络钓鱼攻击,键盘记录截取以及中间人攻击都变得不可能。

“任何攻击者将无法获得登陆账户的有效信息,”Chong继续补充道,“如果系统受损,这项技术并不能防止数据泄露。但是,我们必须清楚,我们设计它的目的是防止目前最常见的黑客攻击:通过网络钓鱼欺骗用户去做一些损害利益的事情。”

谷歌推出的安全密钥目前只支持Chrom浏览器和谷歌的服务。但谷歌希望手机浏览器和其他浏览器能够尽快支持U2F,使越来越多的人能够随时随地使用谷歌的两步验证安全密钥服务,享受互联网的新安全时代。

发表评论