最新網際網路文章

Image credit: Yubikey

實體密碼鎖或許就是網絡釣魚攻擊的剋星

Google 證實,自 2017 年來使用實體密碼鎖的帳戶全數都免於駭客入侵。

Lanmo Chang
2018 年 7 月 24 日, 傍晚 09:00
分享次數
分享
分享
Twitter 發表
line
電郵
儲存

實體的安全密碼鎖(security key)真有比其它身份認證方式更加安全嗎?何不聽聽 Google 怎麼說。根據專注於網路犯罪、安全題材的新聞部落格 Krebs on Security 報導,自從 2017 年,Google 要求旗下 85,000 名員工使用實體的安全密碼鎖取代傳統密碼作為身份認證手段,至今所有的帳戶都未受到任何網路釣魚攻擊的侵害。Google 的發言人除了證實這項消息也解釋,基於處理不同應用程序所涉及的機密程度,和使用者當下可能面臨的風險,員工的確會在特定的環節中,被要求使用實體的安全密碼鎖來進行身份認證。

使用這類實體的安全密碼鎖其實十分簡單,像 Yubikey 這樣的產品,你只需要在登錄網站時將其插入,按下按鈕,就完成了,免去你輸入冗長的密碼麻煩。雖然這類實體產品依然有它的缺點,例如你可能會弄丟它,但安全性上,它甚至比現在常見的「雙重認證」(像是輸入密碼+簡訊認證)還更有保障,畢竟對於駭客來說,攔截發送到手機的訊息並非不可能的事。

遺憾的是,這類 Universal 2nd Factor(U2F)實體安全性密碼鎖,目前支援仍十分有限。時至今日, Chrome 已提供支援,而 Firefox 需經過設定才能使用,微軟的 Edge 預計在今年稍晚的更新後提供支援,Apple 的 Safari 則是沒有任何相關消息。況且,即使你搞定了瀏覽器,目前也僅有少數網站和服務可以透過它進行身份認證,包括 Facebook 和 Keepass、LastPass 等密碼管理服務。Google 的正面經驗是否能幫助這項技術順利發展,目前仍有待觀察,但這消息對相關廠商來說,想必已經是一劑久違的強心針啦。