科技巨头为何又爱回物理安全密钥?
2023-03-07李垚
李垚
FIDO生态系统新认证标准
网络钓鱼是黑客获取密码的最常见方式之一,但物理安全密匙的出现却将这种威胁彻底消除。简单来说,物理安全密钥可以提供额外的保护,即使黑客成功通过网络钓鱼窃取人们的密码,他们也无法获取安全密钥。如果用户访问网络钓鱼网站,物理安全密钥也可以发出警告。虽然物理安全密匙不是新鲜产物,但也许是看到了商机,也许是真的为用户着想,近年来各个科技公司又开始采取这种老套又有效的方法。
比如现在我们iPhone手机的最新正式版本是iOS16.2,但iOS16.3的测试版已经出来了,新版本上看到另一个功能:iOS16与2FA安全密钥(双重身份验证)的兼容,用于取代常用的验证码,这是苹果为适应FIDO生态系统内的新认证标准而采取的举措。
FIDO是一种在线验证用户身份的技术规范,是一个基于标准、可互操作的身份认证生态系统,其联盟成员包括PayPal、联想集团、NokNokLabs,每天全球有数十亿人利用FIDO进行身份认证。
双重身份验证(2FA)是一种安全流程,可以提高一个人身份的真实性。其机制会请求用户在访问应用程序或系统之前,提供两个不同的认证因素,而不是简单地提供他们的用户名和密码。
实际上,目前我们有多个成熟的验证方式:用户名、密码、面部识别和指纹。访问密钥其实是最常用的标准技术,与密码不同,它可以防止网络钓鱼,并且经过精心设计,没有共享的漏洞。它们简化了应用程序和网站的账户注册,易于使用,并且适用于所有Apple设备。
虽然有这么多传统的身份验证技术,但是苹果这次在iOS16.3、iPadOS16.3和macOS13.2上要推出支持AppleID账户的物理安全密钥。拿苹果的官话来说:可选的安全功能专为希望“针对网络钓鱼或社会诈骗等针对性攻击提供额外保护”的个人而设计,启用后,登录AppleID需要输入用户的账户密码,然后使用FIDO认证的安全密钥来完成双因素身份验证,而不是来自另一台Apple设备的传统六位数验证码。
安全密钥如何工作
一般来说,2FA会在登录新设备或长时间未使用的设备时发挥作用,并不是每次打开Mac或解锁iPhone时都需要执行这个过程,正常情况下你的手机都是被指定为受信任的设备。2FA除了用户名和密码外,还为登录过程增加了一个额外的步骤,要么将物理密匙直接插入设备上的数据端口,要么通过NFC协议进行无线通信。
要在iPhone或iPad上启用AppleID的安全密钥,先打开“设置”应用程序,点击用户的姓名,点击“密码和安全”,选择“添加安全密钥”,然后按照屏幕上的说明进行操作。在Mac上,打开“系统设置”应用程序,单击姓名,單击“密码和安全”,单击“安全密钥”旁边的“添加”,然后按照步骤操作。
苹果推荐的YubiKey物理密钥价格可都不便宜,分别是售价55美元(人民币371元)、75美元(人民币506元),还有一个25美元款,想要在系统上启用功能,至少需要两个物理安全密钥,也就是说,想为iPhone提供极致防护,得花费1000元。
是不是觉得物理密钥的样子有点眼熟?有点像银行U盾,安全理念也是类似的,就是为了提供让第三方无法破解的安全等级。
物理安全密钥能否高速前进
其实除了苹果,这些年硬件厂商没闲着,说谁跟风还说不准。比如亚马逊上飞天诚信(feitian)、Yubico等厂商均有官方店铺出售支持Windows系统安全加密的以上产品。比如FEITIANiePassK44与Yubikey5ci属于类似产品,均为同时带有USB-C、苹果Lightning两种接口的物理密钥设备。可以同时适用于Android、iOS、MacOS、Linux、Windows等跨系统场景。
谷歌云全球NEXT大会上,也发布过自家的物理安全密钥——TitanSecurityKey,Titan即“泰坦”,其是西方神话中的著名神族。TitanKey推出后,为谷歌打造了一道坚固“防火墙”。谷歌声称,近年来公司85000多名员工的工作账号没有一个遭遇黑客入侵,也从未遭到泄露。而这一切的原因,完全要归功于公司之前测试的早期版本安全密钥。也就是说,谷歌公司的员工使用物理安全密钥进行双重身份认证,保证了自身隐私的安全。
谷歌、苹果等互联网领域的巨头将目标对准了物理安全密钥,也许有一定道理,即便设备有点小贵,但相信特定人群还是愿意为此买单,物理安全密钥或许未来会成为一种潮流。那么黑客今后又如何和这些大厂玩猫鼠游戏呢?矛和盾的问题,能否成为过去时?