安全密钥可以阻止复杂的网络钓鱼攻击损害你的账户,但大多数会让你在每个密钥20- 50美元之间。这是这项技术尚未被广泛采用的一个重要原因,但谷歌希望通过让你的安卓手机充当安全密钥来改变这一现状。
周三,谷歌开始做出选择可用(在新窗口打开)安卓7.0及以上版本智能手机的用户。内置的安全密钥功能类似于基于硬件的密钥,只是它是免费的。
有了这个系统,当你在电脑上输入密码时,手机就会收到通知。系统将要求您确认是否想要登录。然后,安卓手机将通过蓝牙向电脑发送认证请求,解锁你的账户。给那些已经用过的人双因素身份验证当在PC上登录他们的谷歌帐户时,这个过程将是熟悉的。区别在于引擎盖之下。
额外的安全层旨在确保只有您可以登录到您的帐户。目前,这项技术只适用于谷歌和G套件账户。它还需要一台支持蓝牙和Chrome浏览器的电脑。但目标是将安全技术引入其他浏览器,包括Firefox和Safari,以及第三方网站。下面是如何设置它(在新窗口打开).
试图杀死密码
谷歌产品经理克里斯蒂安·布兰德告诉PCMag:“我们希望这项技术能被尽可能广泛地使用。”
谷歌的解决方案使用fido2标准(在新窗口打开),就像一个物理安全密钥;你的手机将存储一个加密密钥,可以用来签署认证请求来解锁指定的在线帐户。
使解决方案抵抗网络钓鱼的原因是,安全密钥永远不会在互联网上转移您的加密密钥。该技术只会在官方账号提供商的身份验证请求上签字。因此,即使是最优秀的黑客提供的看起来很像的钓鱼页面也无法欺骗安全密钥。
谷歌之所以选择Android 7.0及以上版本,是因为该操作系统版本需要使用所谓的可信执行环境(TEE),这是手机处理器的一个隔离区域。通过TEE,手机可以存储和处理你最机密的信息,比如加密的指纹数据——所有这些信息都不会离开设备。
布兰德说,在大多数情况下,谷歌的内置安全密钥将利用TEE来存储加密密钥信息。该公司的像素3另一方面,设备将把加密密钥存储在谷歌的定制Titan安全芯片中,该芯片也与手机的主处理器分开。
目前,你只能使用一部安卓手机作为你的物理安全密钥;如果你买了新手机,你就从旧手机上注销,然后在新设备上进行设置。
你应该相信谷歌吗?
有些人可能对谷歌最新的安全解决方案持怀疑态度。毕竟,该公司的Android操作系统也没有摆脱恶意软件威胁或危险的软件利用.但谷歌的产品经理告诉PCMag,他们的内置安全密钥解决方案可能需要物理访问你的手机。如果发生这种情况,无论如何你都有麻烦了。
布兰德说:“关键是网络钓鱼问题已经停止。”“是的,第二个问题可能是,‘好吧,现在我遇到了一个攻击者,他插入了一根电缆,并对Android 7进行了零日攻击,他们可以从闪存驱动器中获取手机文件。这可能是个问题。但这绝对是次要的问题。”
谷歌产品管理总监萨姆·斯里尼瓦斯补充说,太多人继续只用密码来保护自己的账户。“真正的威胁是有人坐在3000英里外,给你发送一个虚假的登录页面。这就是我们真正要防范的:远程攻击。这确实是明确而现实的危险。”
不幸的是,许多其他网站,如银行网站,仍然没有提供安全密钥保护。其他公司只提供双因素身份验证系统,可以通过短信生成一次性密码在某些情况下不安全.但斯里尼瓦斯表示,他希望谷歌的内置安全密钥解决方案最终能成为整个行业的标准。
编辑推荐
为什么要使用安全密钥?
该解决方案是对现有解决方案的重大升级双因素身份验证谷歌和许多顶级互联网公司已经在提供(2FA)系统。2FA通常要求你输入一个密码和一个特殊的一次性密码,这个密码通常可以通过短信或应用程序在你的智能手机上生成。因此,如果你的密码被猜到或被盗,黑客仍然无法入侵。
不幸的是,2FA并不完美。黑客已经表明他们可以欺骗受害者通过看似正式的网络钓鱼邮件交出一次性密码。
输入安全密钥。它的工作原理类似于双重身份验证,但将一次性密码交换为物理设备,攻击者必须通过物理方式窃取才能访问您的帐户。谷歌、Facebook、Twitter和Dropbox等公司都为其账户提供安全密钥保护。
谷歌非常喜欢这个解决方案,以至于在2017年它决定给所有员工发安全钥匙。自那以后,该公司没有遇到过确认的与工作相关的账户被收购的情况。去年,谷歌也开始以50美元的价格出售自己的“泰坦”安全密钥产品。
但尽管有Titan,谷歌的商业客户一直在要求一种方法,将安全关键技术带给更多自己的员工。作为回应,该公司把目光投向了智能手机,这是大多数人一直随身携带的一种设备。
为了完全使用内置安全密钥保护您的谷歌帐户,您需要进入安全设置并删除您为帐户启用的任何其他双重身份验证步骤(例如SMS一次性密码,谷歌提示)。但代价是谷歌的内置安全密钥目前只适用于具有蓝牙功能的Windows 10、macOS和Chrome OS设备。