實體密碼鎖或許就是網絡釣魚攻擊的剋星

實體的安全密碼鎖（security key）真有比其它身份認證方式更加安全嗎？何不聽聽 Google 怎麼說。根據專注於網路犯罪、安全題材的新聞部落格 Krebs on Security 報導，自從 2017 年，Google 要求旗下 85,000 名員工使用實體的安全密碼鎖取代傳統密碼作為身份認證手段，至今所有的帳戶都未受到任何網路釣魚攻擊的侵害。Google 的發言人除了證實這項消息也解釋，基於處理不同應用程序所涉及的機密程度，和使用者當下可能面臨的風險，員工的確會在特定的環節中，被要求使用實體的安全密碼鎖來進行身份認證。使用這類實體的安全密碼鎖其實十分簡單，像 Yubikey 這樣的產品，你只需要在登錄網站時將其插入，按下按鈕，就完成了，免去你輸入冗長的密碼麻煩。雖然這類實體產品依然有它的缺點，例如你可能會弄丟它，但安全性上，它甚至比現在常見的「雙重認證」（像是輸入密碼＋簡訊認證）還更有保障，畢竟對於駭客來說，攔截發送到手機的訊息並非不可能的事。

遺憾的是，這類 Universal 2nd Factor（U2F）實體安全性密碼鎖，目前支援仍十分有限。時至今日， Chrome 已提供支援，而 Firefox 需經過設定才能使用，微軟的 Edge 預計在今年稍晚的更新後提供支援，Apple 的 Safari 則是沒有任何相關消息。況且，即使你搞定了瀏覽器，目前也僅有少數網站和服務可以透過它進行身份認證，包括 Facebook 和 Keepass、LastPass 等密碼管理服務。Google 的正面經驗是否能幫助這項技術順利發展，目前仍有待觀察，但這消息對相關廠商來說，想必已經是一劑久違的強心針啦。

來源: Krebs on Security

經由: Engadget