用密碼保護各種不同的網路帳號,是相當平常的事情,但密碼太複雜會忘記,太簡單容易猜測或攔裁而被偷走。如何確保便利和安全是相當重要的事情,如今 Google 採用 USB 密錀的方式保護公司員工的帳戶,既有相當嚴謹的安全性,也讓員工方便操作。
自從 Google 採用 USB 密錀之後,我們再也沒有任何帳號被奪走的事情發生了。視 Apps 的機敏程度和當時使用者面臨的風險,使用者常需要用他們的 USB 密鑰認證他們使用的不同 Apps,不同的事由。
USB 密鑰認證機制與既有的密碼系統結合,成為兩階段認證的其中一個過程,特定的 USB 透過 Universal 2nd Factor(U2F)機制,讓使用者能夠在輸入密碼之後,只要插入 USB 密鑰到 USB 插槽內,就可以完成兩階段認證。
在 2017 年之後,Google 還未採用 USB 密鑰的兩階段認證,而是員工輸入密碼之後,再由 Google 傳送一次性的密碼到使用者的手機裝置上,再由員工輸入螢幕上的輸入框中,完成登入程序。
市面上已經有 Chrome、Opera 灠覽器支援 U2F 機制,而 Firefox Quantum 則需要動設定才能支援,而微軟 Edge 瀏覽器則計劃在新版本推出,蘋果則未決定是否在 Safari 瀏覽器加入支援。在網站服務方面則有 Github、Gitlab、LassPass,社群網站 Facebook 還有網路硬碟 Dropbox。目前由 FIDO 制訂 U2F 的規範,而除了支援的網站、服務之外,Yubikey 則生產 U2F 機制所需要的 USB 密鑰,提供給包括 Google 等公司行號、組織或是個人。
FIDO 聯盟與全球資訊網協會 (World Wide Web Consortium,W3C),共同制訂 Web Authentication API──又稱為 WebAuthn,能夠增加網站的安全性,避開身分認證所需要的輸入密碼過程,從而避免被用中間人手法竊取使用者密碼。
儘管用 U2F 機制的 USB 密鑰相當安全,才能使用 Google 共 89,000 位員工不被駭客的社交工程手法騙到帳號控制權,但其實設定上有點麻煩。而儘管 Yubikey 生產的 USB 密鑰只要 20 美元,也得刻意去買才能取得。如果還不想用 U2F 機制,Google 號稱最強的進階保護計畫,至少開始用 SMS 傳送一次性密碼的兩階段認證機制,保護手上的 Google 帳號。(本文由科技新報授權轉載)
