Google今天发布了一项利用USB安全密钥来增强两步验证的功能。在确认登陆网站的确是Google网站之后,用户只需插入该USB安全密钥,在收到浏览器提示的情况下按一下按钮即可完成安全认证,整个过程不需要输入密码。不过这项功能仅对Chrome浏览器(38版及以上)有效。

两步验证是Google很许多互联网公司的一种提高账户安全的手段。用户在输入用户名和密码登陆Google账户之后,还需要输入通过短信、语音电话或移动应用收到的验证码这一额外验证手段来保证安全。而安全密钥就相当于这种额外的验证手段。

首先是能更好地防止被钓鱼。以往的两步验证中Google会向用户的手机发送验证码。但是有些狡猾的攻击者会设立一些仿冒的网站来让你提供验证码给他们而不是Google。而安全密钥可以更好地防护这种攻击,因为密钥使用的是密码而不是验证码,而且在网站合法的情况会自动工作。

其次是不需要移动连接或者电池。安全密钥不需要数据连接也能工作,而且可以随身携带。

不过,其代价是用户需要向Google的Universal 2nd Factor(U2F)合作供应商购买USB安全密钥。

U2F是Google发起的一项旨在推广通用的第二安全因子的项目。去年2月,Google加入了致力于为互联网安全打造高效、便捷、开源的安全解决方案的FIDO((Fast IDentity Online)Alliance,PayPal、MasterCard、联想、LG电子及NXP、Yubico均是联盟成员。由于FIFO采用了U2F作为其标准协议,因此其他需要登录系统的网站也可以使用这项功能。

虽然目前该安全密钥仅支持Chrome浏览器,但Google希望其他浏览器不久也能增加对FIDO U2F的支持。其终极目标是让人人携带一个安全密钥就能随处工作。

[36氪原创文章,作者: boxi]