你是谁?就大多数安全网站而言,你就是你的电子邮件帐户.忘记密码了?没问题,我们会通过电子邮件发送重置代码!如果你的电子邮件账户落入坏人之手,你就彻底完蛋了。黑客破解了你的PayPal账户,就能进入那个账户;破解你电子邮件账户的黑客一切.
这就是双因素认证的用武之地。除了简单的用户名和密码之外,几乎每个电子邮件提供商都提供某种类型的身份验证。有些人会给你的智能手机发短信。另一些则允许你将账户与谷歌认证(Google Authenticator)等应用程序链接为什么Twilio Authy.谷歌低调地推出了另一个保护Gmail账户的选项——安全密钥。现在你可以用钥匙打开你的电子邮件,就像你打开你的车或你的前门一样。如果这种新型身份验证的支持者能够成功,那么这把钥匙将很快解锁更多的网站和应用程序。
快速身份在线
每个安全密钥都实现了一个称为U2F的标准,即“通用双因素”。这个开放标准是由FIDO(快速在线身份识别)联盟(在新窗口中打开)谷歌是其中的重要成员。Yubikey认证设备的供应商Yubico是另一个重要的成员,事实上,安全密钥的大部分设计都来自Yubico。然而,标准是完全开放的,代码是可用的,因此许多其他供应商已经销售了他们自己的安全密钥模型。
最初的Yubikey通过发送一次性密码来支持应用程序,比如LastPass.您仍然可以使用更新后的Yubikey用于此目的,但为了实现FIDO U2F,它现在包含一个内置的智能卡,可以与支持的应用程序进行交互。新旧设备类型都非常耐用;从2009年起,我的口袋里就有了一辆Yubikey,它和钥匙一起咔嗒作响。
至于联盟本身,它会员列表(在新窗口中打开)读起来像是金融和安全领域的名人录。董事会成员中当然有谷歌和优比可,但你也会发现三星、美国银行、微软、万事达和Visa。更多的赞助商级别成员包括好市多、戴尔、Ing、Netflix和富国银行。这是一个重量级的联盟!
使用Gmail的安全密钥
你可以花18美元从Yubico购买一个FIDO U2F安全密钥,或者在网上浏览其他制造商的交易。我见过价格低至5美元的。在注册安全密钥之前,你必须设置传统的双因素认证,要么使用Google Authenticator,要么在你尝试登录时让Gmail向你的智能手机发送认证码。完成此配置后,您将找到一个标记为Security Key的选项卡。请注意,目前只支持Chrome浏览器,所以如果你用其他浏览器登录,你必须使用基于智能手机的身份验证。
注册安全密钥很简单。单击Register以准备好系统,插入您的安全密钥,并触摸密钥上的金色按钮。完成了!您可以注册多个密钥,以防丢失一个密钥。只是不要把它们都放在同一个地方!
当只有密码保护你的电子邮件时,任何知道密码的人都可以打开你的账户。有了安全密钥保护,除了安全密钥的智能卡和安全应用程序之间的握手之外,没有什么可以解锁您的帐户。远程访问是不可能的,因为启动握手需要你触摸键的按钮。
U2F的未来
最近在旧金山举行的RSA大会上,我采访了Stina Ehrensvärd,她是Yubico的首席执行官和创始人,也是U2F的坦率传播者。事实上,她认为U2F不仅是互联网的关键,也是未来的关键。
我们的编辑推荐
“我对U2F很兴奋,因为我的愿景是它将无处不在,”Ehrensvärd说。“最终,它可以扩展到加密、支付,它可以让用户控制自己的身份。你不会从银行或政府那里得到你的身份;你买了钥匙,这就是你自己的身份证明。”Ehrensvärd指出,U2F可以采用多种形式,而不仅仅是USB密钥。例如,它可以在手机或电脑中。她提到,两款结合了生物识别和u2f的设备已经上市。展望未来,Yubico计划在其基于蓝牙和nfc的设备中添加U2F功能。
“使用安全密钥进行身份验证可以让你既安全又匿名,”Ehrensvärd继续说道。“你可以取消用户名和密码,这样持不同政见者和从事人权工作的人就可以在不暴露真实身份的情况下进行交流。”她想象人们至少携带三把钥匙,一把用于工作,一把用于个人身份,还有一把用于匿名认证。
为什么要放弃这项技术呢?“在瑞典,沃尔沃决定我们需要一个三点式安全带,”Ehrensvärd说。“开发它的人说,让我们把它开放,拯救了数百万人的生命。我们想要推动一个开放的标准。我宁愿占有大市场的5%,也不愿占有小市场的全部。”
使用安全密钥锁定电子邮件是我们任何人都可以做的事情,但U2F还有很多。“所有领先的云公司都在内部使用它进行身份验证,”她说。“我们拥有十大云公司中的九家。我们通过极客进入;他们看到了价值。”不过,最终,这不仅仅是Ehrensvärd的技术。“安全的网络身份是一项基本人权,”她说。“我们希望每个人都能负担得起,而且很方便。”