谷歌推出两步验证方法:Security Key

一、介绍

2014年10月22号,谷歌发布了Security Key,一种USB key形式的两步验证(two-step verification)的方法。如果用户选择该项服务,需要在登录之前插入USB key到自己的计算机上。它有望使谷歌账户更加安全,但需要用户能够真正的使用它。

到目前为止,启用两步验证的谷歌用户被要求在登录时输入他们手机上的验证码。而使用SecurityKey,可以从第三方零售商购买,用户在输入密码的同时需要把USB key插入到他们的计算机上。

据谷歌声称,SecurityKey比以前的方法更为安全,因为只有验证登录站点是真正的谷歌页面才能够工作。

二、问题

1.USB key的遗失

有一个问题就是:如果你弄丢了USB Key,会造成什么影响?安全协依赖于一个在口袋中叮当乱响的小玩意,对经常丢三落四的马大哈来说并不是什么好主意。不必担心,更换Security Key的费用不会超过10$,丢失USB key不会造成什么安全隐患或麻烦。你仍能够利用发送至手机的验证码来访问你的谷歌账户,而USB key本身并不包含关于你或你账户的信息。没有密码,USB Key也是无效的。

Security Key采用了FIDO联盟研发的技术。FIDO联盟是一个技术联盟,其成员包括谷歌、Paypal和联想。该联盟有一个明确的目标,推动世界从基于密码的认证方法迁移到基于设备的认证方法。同时,他们希望通过“行业计划推动世界范围内的普及”。随着谷歌的加盟,也似乎证实了FIDO的工作是卓有成效的。

Freebuf科普

当然,SecurityKey的成功取决于用户是否真正地使用它。目前,谷歌主要将这款产品面向对安全特别敏感的人群。然而,谷歌对两步验证和FIDO联盟的会员制度的长期推动也点亮了更广泛采用的希望。

2.用户的接受程度

普通人是否懒得随身携带一个物理Key来登录邮箱?

即使斯诺登事件、好莱坞艳照门、Snappening等一些列事件把人们对安全的关注推向了一个前所未有的高度,普通人是否懒得随身携带USB key来登录邮箱?来自丹麦技术大学应用数学与计算机科学的博士后研究员ArkadiuszStopczynski认为情况确实如此。

三、总结

“不管外在形式是一个独立的USB key,手机上的安全芯片,还是可穿戴设备的一部分,双因素的基本概念- 你所知道的和你所拥有的 -将会迅速普及起来” Stopczynski告诉我“谷歌的目标是从密码登陆迁移至设备登录”。

现在情况来看,像谷歌和苹果这样的市场大玩家都积极地向更安全的两步验证靠拢,而Security Key只不过是长期推动过程中的一个最新进展。如果不被用户的懒惰所击败,加上正确的包装和市场营销,两步验证正在缓缓起航。