谷歌密匙让你安全上网

密码的技术缺陷和人们使用密码的方式是许多计算机安全事件的根源，谷歌称，使用类似图中的实体安全密钥作为密码的附加，可使网络账户更安全。

选择谷歌最新的安全升级需要你钥匙环上的一个叫安全密钥的东西。

图片由Yubico提供

这个小小的USB芯片为谷歌账户提供更好的保护。一旦一把密钥与你的账户关联，每次你用密码登录时都会被提示将密钥插入计算机——或者，如果你愿意，在你的常用计算机上每个月插入密钥一次。触摸安全密钥上的一个按钮触发一次与谷歌登录系统的密码交换以验证身份。安全密钥可从与谷歌合作的几家安全硬件公司购买，价格不到20美元。

这项新技术主要针对安全问题。但是相关的技术为物理设备彻底取代密码提供了基础，谷歌安全工程师Mayank Upadhyay如是说。谷歌已投入很多精力研究取代密码的方法，因为盗取和猜测密码常被用于账户盗用。

Upadhyay说：“这是解决当前问题的伟大的第一步，也促进了整个生态向网络安全的“圣杯”前进。”他在谷歌主持测试用其它物理设备替代密码方面的工作（详见“谷歌用戒指做密码的实验”）。今年夏天，谷歌宣布他们将实现你的安卓智能手机一靠近就自动解锁Chromebook并登陆进你的谷歌账户的技术。实体安全密钥提供了一种更安全的双因子认证模式。一些网络公司已提供双因子认证，许多银行也已将其投入使用，使用时需要同时提供密码和一个与实体相关的临时码才能登录。通常，双因子认证码通过手机app、短信或一种特殊钥匙扣获得。

这种方法是为了防止盗用者远程登录你的账户而设计的。打比方说，如果苹果为iCloud备份服务提供双因子认证，使用这种技术的人就能抵御今年夏天黑客用于盗取名人照片的技术。（苹果已发布双因子认证服务。）

尽管如此，老练的黑客还是有能力突破双因子认证。他们可以通过拦截短信、黑掉手机，或者突破生成认证码的中心数据库来盗取或复制认证码。2011年的一次对RSA的SecurID认证系统的类似攻击导致了国防承包商洛克希德马丁公司的泄密。谷歌有许多高风险用户使用现有的双因子认证系统并不安全，Upadhyay说，“我们见过各式各样的攻击。”实体安全密钥，例如谷歌的这种，可以抵抗远程攻击，因为要复制密钥认证码需要的信息只能通过物理攻击密钥中的安全芯片才能得到。双因子认证已经广泛地用于公司网络。明年年初，购买使用谷歌的电子邮件服务和办公软件的公司将能让他们的员工使用实体安全密钥访问这些服务。

卡耐基梅隆大学Cylab Usable Privacy and Security Laboratory主任Lorrie Cranor说，对于尚未使用双因子认证的人来说，实体安全密钥不太可能增加他们这项技术的兴趣，但是合适的推广和包装有可能让这项技术获得更广泛的应用。她说：“对于一些不太熟悉计算机安全知识，但能把这项技术与‘用实体钥匙锁住他们的账户’联系到一起的人来说，这项技术很有意义。”

如果谷歌以外的其它公司选择使用这项技术，现在购买的实体安全密钥也将与其他公司的服务兼容。安全密钥基于U2F开放标准构建，这种标准由FIDO联盟开发。FIDO联盟是一个致力于减少对密码的依赖性的公司联合组织。

销售实体安全密钥的创业公司Yubico的CEO Stina Ehrensvärd表示，联盟的技术对应用推广是很好的激励。她说：“谷歌走出去展示他们的成果非常好，我期待更多人跟随他们的脚步，因为这简便，FIDO也允许竞争。”

Ehrensvärd说，未来的实体安全密钥也将和移动设备兼容，因为最终的U2F标准将明确定义一种能包含大多数新智能手机可以无线读取的非接触NFC芯片的实体安全密钥。

译自：http://www.technologyreview.com/news/531926/a-physical-key-to-your-google-account/