3月下旬,我在Gmail账户上收到一条令人不安的消息:“警告:谷歌可能已经侦测到有政府背景的攻击者试图窃取你的密码。”
谷歌发送出去当它检测到“政府支持的黑客”试图通过钓鱼网站或恶意软件破解的帐户。
我最后一次见到一个,我加了双因素认证许多我的帐户。这一次,它促使我问:我可以做得更好?
马丁·威廉姆斯/ IDGNS
安全警告消息,由谷歌显示。
事实证明我可以。
谷歌提出一个安全密钥作为一个更安全的选择。这些小的USB设备可以生成一次性的令牌来代替来自authenticator应用程序的六位数字代码。
谷歌支持一种称为格式FIDO通用第二要素(U2F),它帮助开发。键可通过USB,蓝牙和NFC这项工作,这样他们就可以在除PC智能手机或平板电脑来使用。
马丁·威廉姆斯/ IDGNS
从飞天(左)和Yubico硬件安全密钥。
它们真的很容易使用。
首先,一旦你买了一个关键,它需要与网站进行注册。当随后登录,用户名和密码后,出现提示已输入。用钥匙认证仅仅是将它插入USB插座并按下小金盘的问题。
马廷·威廉斯/ IDGNS
一个对话框,映入眼帘的用户登录到Facebook帐户由安全密钥保护。
该盘触发键发射一个44个字符的代码确认登录。代码的前12个字符是正在使用的装置的公开密钥和所述剩余的32是用于登录尝试的唯一密码。
在智能手机,NFC键可以简单地紧贴在手机的背面送码。
而这一切就是这么简单。它比杂耍智能手机和验证码容易得多。
在您承诺
U2F目前只支持两种浏览器:谷歌Chrome和Opera。它们加在一起占了桌面浏览的三分之二,并且可以在Windows、macOS和Linux上使用,所以市场的很大一部分已经被覆盖了,但是如果您更喜欢Firefox、Safari或其他浏览器,则需要切换。
而U2F仅适用于有不少网站而目前的服务,但他们并包括一些主要的像谷歌,Facebook,Salesforce的,GitHub上,和Dropbox。简单地保护您的谷歌和Facebook帐户可能是引人注目的足够安全密钥添加到您的钥匙圈,因为这两个网站是网络攻击的主要目标和身份盗窃。
但是,如果你用的是iPhone或iPad,那就有坏消息了。的键不能正常使用这些工作设备。你应该对Android没有问题。
马丁·威廉姆斯/ IDGNS
Yubico最小的钥匙可以放入钱包或留在USB接口。
还要考虑物流。与验证的应用程序,代码是无论你的手机,你的手机通常是和你在一起。随着安全密钥,你需要携带它周围。好消息是,它的体积小,非常坚固,容易坐落在一个钥匙圈。
了解你的标准
安全密钥还可以用来保护访问密码管理器。
Dashlane密码管理器支持FIDO U2F,而其他几个竞争对手,包括LastPass,支持OTP,一个类似但不兼容的标准,所以你购物时需要小心,因为不是所有的密钥都会生成U2F和OTP代码。
一些最流行的钥匙来自Yubico和大多数同时支持U2F和OTP,但最便宜的公司的阵容是不兼容的OTP。
一步向前,两步后退
虽然谷歌和Facebook都将安全密钥作为一种更好的保护账户安全的方式来推广,但这两家公司的实施都存在一个潜在的漏洞。如果您设置了一个通过SMS接收安全代码的恢复电话号码,该电话号码将一直保持激活状态,直到您禁用它。
这是一个问题,因为短信不是一个安全的传输渠道。黑客已经成功地攻击银行账户基于短信认证码保护,由于该协议的弱点。
所以,你需要禁用手机备份。在谷歌和Facebook的安全设置,页面将允许你这样做。
当你在里面,这是一个好主意,建立账户登录提醒,所以你如果某人管理由不管进入你的帐户什么手段,你就会知道这件事。
谷歌和Facebook不会对他们的使用安全密钥的评论。
你可以在那里使用安全密钥?
Yubico有有用的矩阵在其网站上详细的兼容性,并且有几个网站的房源是支持安全密钥和他们使用的标准。一个是通过Yubico维护,但最详尽的,我发现来自德国的Nitrokey,还出售安全密钥。