Google推USB安全密钥,实用性到底有多大?
日前,谷歌针对谷歌服务推出全新的安全措施——采用双重因素(U2F)标准的USB密钥——要求用户登录谷歌账户时插入USB密钥进行安全难,有望取代目前广泛采用的“两步验证”技术,进一步提高用户数据的安全性。
该密钥目前仅支持最新版本的Chrome浏览器,用户需单独购买,售价在20美元以内。
谷歌称,这种外形酷似银行U盾的密钥内含有一块叫做“安全要素”的芯片——处理加密密钥。
用户只需插入USB密钥并点击按钮即可完成验证,实际操作比“两步验证”更加简单,而安全性却更高。
目前用户使用的“两步验证”是Google、微软等互联网公司为用户免费提供的增强账户安全的服务。
在“两步验证”下,用户需要通过短信、电话或邮件接收系统发出的安全密钥。
苹果公司日前也为其iCloud服务提供了“两步验证”安全服务,以应对频繁发生的安全事件。
谷歌安全的产品经理Nishit Shah表示:“与传统的输入密钥相比,用户只需要插入USB密钥,并在Chrome浏览器出现提示时按下密钥上的按钮即可。
当使用Chrome浏览器和安全密钥登录谷歌账户时,用户不用担心加密签名受到钓鱼网站的攻击。”
当用户初次使用时,用户需要将安全密钥与服务提供商进行注册。注册过程将产生一对安全密钥:公共密钥和私人密钥,其中公共密钥将发送给服务提供商,而私人密钥将存储在USB安全密钥中。
使用支持USB安全密钥的浏览器,比如Chrome时,网站将向安全密钥发起请求,安全密钥将给予回应;该请求和回应都经加密处理。
接入技术服务提供商Yubico的工程师Jerrod Chong表示,“USB安全密钥与相应的浏览器和服务配合使用,出现钓鱼攻击、按键记录、中间人攻击几乎是不可能的。任何黑客将不可能获得有助于登录用户账户的信息 。”
但是Chong进一步表示,如果用户的计算机系统受到攻击,USB密钥将无法保证数据的安全性,也就是说用户数据可能会泄漏。
USB密钥的主要目的是最大限度防止目前最广泛的网络攻击——网络诱骗。