三月底,我的Gmail账户收到了一条令人不安的消息:“警告:谷歌可能已经发现有政府支持的攻击者试图窃取你的密码。”
谷歌发送出来当它发现“政府支持的攻击者”试图通过网络钓鱼或恶意软件入侵一个账户时。
上次我看到它时,我给我的许多帐户添加了双重认证。这一次,它促使我问:我还能做得更好吗?
马丁·威廉姆斯/ IDGNS
由谷歌显示的安全警告消息。
事实证明我可以。
谷歌表示安全密钥作为一种更安全的选择。这些是小的USB设备,产生一次性的令牌,以取代来自身份验证程序的六位数代码。
谷歌支持一种名为FIDO通用第二因子(U2F),它帮助开发。密钥可以通过USB、蓝牙和近距离通信(NFC)工作,因此除了可以与PC一起使用外,它们还可以与智能手机或平板电脑一起使用。
马丁·威廉姆斯/ IDGNS
硬件安全密钥来自飞天(左)和Yubico。
它们真的很容易使用。
首先,一旦您购买了密钥,就需要在网站上注册。随后登录时,在输入用户名和密码后会出现提示。使用密钥进行身份验证只需将其插入USB插座并按下小金盘即可。
马丁·威廉姆斯/ IDGNS
一个对话框向登录到受安全密钥保护的Facebook帐户的用户打招呼。
光盘触发密钥传送44-character代码确认登录。代码的前12个字符是正在使用的设备的公钥,其余的32个字符是登录尝试的唯一密码。
在智能手机上,只需将一个NFC密钥放在手机背面就可以发送密码。
这就是它的全部。这比摆弄智能手机和身份验证代码要容易得多。
在你提交
目前只有两个浏览器支持U2F,谷歌Chrome和Opera。这三种浏览器加起来约占桌面浏览的三分之二,在Windows、macOS和Linux上都有,所以市场的很大一部分已经覆盖了,但如果你更喜欢Firefox、Safari或其他浏览器,你就需要换一种。
U2F只适用于几个网站不过,其中确实包括一些主要的公司,如谷歌、Facebook、Salesforce、GitHub和DropBox。仅仅保护你的谷歌和Facebook账户就足够了,因为这两个网站都是网络攻击和身份盗窃的主要目标。
但是,如果你用的是iPhone或iPad,那就有坏消息了。的钥匙在这些地方不能正常工作设备。你应该对Android没有问题。
马丁·威廉姆斯/ IDGNS
Yubico最小的钥匙可以放入钱包或保存在USB接口上。
还要考虑物流。有了认证应用程序,代码就在你手机的任何地方,你的手机通常就在你身边。有了安全密钥,你就需要随身携带它。好消息是它很小,非常坚固,很容易安装在钥匙圈上。
知道你的标准
安全密钥还可以用于保护对密码管理器的访问。
Dashlane密码管理器支持FIDO U2F,而其他几个竞争对手,包括LastPass,支持OTP,一个类似但不兼容的标准,所以你在购物时需要小心,不是所有的密钥都会生成U2F和OTP代码。
一些最流行的密钥来自于Yubico,大多数都支持U2F和OTP,但该公司系列中最便宜的密钥不兼容OTP。
前进一步,后退两步
虽然谷歌和Facebook都提倡使用安全密钥来更好地保护你的账户安全,但这两家公司在其实施中都有潜在的漏洞。如果您设置了一个恢复电话号码,以接收安全码通过短信,该电话号码保持活跃,直到您禁用它。
这是一个问题,因为SMS不是一个安全的传输通道。黑客已经设法攻击银行账户由于协议中的弱点,使用基于sms的身份验证码进行保护。
因此,您需要禁用电话备份。谷歌和Facebook的安全设置页面都允许你这样做。
当你在那里的时候,设置账户登录提醒是个好主意,这样如果有人设法进入你的账户,不管用什么方式,你都会知道。
谷歌和Facebook不愿对他们使用的安全密钥发表评论。
在哪里可以使用安全密钥?
Yubico有有用的矩阵在其网站上详细介绍了兼容性,并列出了几个支持安全密钥的网站及其使用的标准。一个是由Yubico,但我发现的最详尽的来自德国的Nitrokey,这家公司也出售安全密钥。