兩步驟驗證是近幾年相當普遍的驗證方式,藉由傳送驗證碼到手機的方式讓帳號安全多一道防線,但是手機驗證碼仍然有被竊取的可能,因此 Google 今天推出「安全金鑰(Security Key)」提供更高層級的帳號安全防護,使用者只要購買符合 FIDO 通用第二要素 (U2F) 開放式標準相容的裝置並使用 Chrome 38 以上版本即可使用安全金鑰。
為什麼手機驗證碼仍不安全?
目前採用手機驗證碼的兩步驟驗證方式是由系統寄送登入驗證碼到帳號持有人的手機,透過該驗證碼和原本的帳號密碼就可登入帳號,但有不法人士設計與 Google 外觀相似的網站騙取使用者輸入帳號密碼與驗證碼突破第二階段的防護。
▲ 手機驗證碼登入方式
為什麼安全金鑰更安全?
Google 安全金鑰使用的 FIDO U2F 安全認證機制是一種可以讓使用者快速登入的服務,透過 FIDO、裝置與目標帳號三者間的互相認證達成更安全快速的登入體驗。
▲ 安全金鑰登入方式
在講安全之前先搞懂 FIDO U2F 驗證過程,但為了避免太過艱深我直接舉個例子:
部隊在夜間巡查遇到來路不明的人時會詢問「站住!口令!誰?」並把槍枝上膛,這時候被問的人必須立刻停下腳步答出正確口令並且告知身分才可放行,否則可依法論處,而這個口令每天會由負責的主官訂定並告知營區內所有士官兵,做為夜間無法辨別身分時的識別方式。
▲ 安全金鑰驗證機制圖
依這個例子,把角色置換如下:
- Google:巡查官兵
- FIDO 下達給安全金鑰和驗證伺服器:訂定口令的主官
- 登入 Google 的使用者:不明人士
於是故事就可改編成這樣:
當使用者要登入 Google 時, 安全金鑰會將金鑰內的加密訊息與 FIDO 伺服器配對驗證,通過驗證才會放行讓使用者登入帳號。
那麼安全性在哪?
首先啟用安全金鑰的兩步驟驗證後,就算有持有正確的帳號密碼也無法登入帳號,這是兩步驟驗證對帳號的基本防護,但不法人士可透過其他方式取得手機驗證碼後登入帳號。
安全金鑰與驗證碼不同的地方在於只有通過 FIDO 許可的網站才能使用它,因此任何變造的網站都無法讓安全金鑰生效。除此之外,金鑰本身不會產生認證碼,而是透過加密技術將金鑰內的加密資訊送到 FIDO 的加密伺服器比對,比對成功才能進行登入。
簡單的說:不法人士可以做假網頁騙你,但它們無法騙過 FIDO。
「如果安全金鑰遺失了怎麼辦?資料會被偷嗎?」你可能會有這個疑問,答案是:掉了就掉了,登入 Google 把金鑰移除就好,安全金鑰本身並不會儲存帳號資訊,不須擔心資料的問題,而且即使金鑰遺失,使用者仍然可透過驗證碼的方式登入帳號,等到購入新的安全金鑰後再進行設定即可。
「假如手機和安全金鑰都丟了怎麼辦?」先想一下,掉在路上的房子鑰匙被撿到之後就能馬上闖進房子嗎,當然不行,至少要得知道房子是哪一棟吧!所以當這兩樣物品同時遺失的狀況下,最後防線還有你的帳號和密碼,這樣明白了嗎?
如何使用安全金鑰
要使用安全金鑰,您的電腦必須搭載 ChromeOS、Windows、Mac OS 或 Linux 作業系統,並且執行 Google Chrome 第 38 版或更新版本。
安全金鑰只要購買相容「FIDO 通用第二要素 (U2F)」的開放式標準相容的裝置即可。
安全金鑰設定方式
打開 Google 兩步驟驗證的安全金鑰設定頁面,依照網頁指示新增即可。