为抵制账户被盗，这款USB 型的密钥可以进行双因素身份验证

编者按：过去的五年里，发生了一系列高调盗取账户的事件，似乎永不终止。在安全从业者中出现了越来越多的共识：即使长期使用随机生成的密码也不足以锁定电子邮件和其他类型的在线资产。根据这些共识，这些资产需要增加第二个认证因素。Dan Goodin 介绍了一种低成本的安全密钥，可以保障您的账户安全。

目前，对超过5万名Google员工进行的为期两年的研究表明，基于加密的安全密钥击败了智能手机和大多数其他形式的双因素验证。

安全密钥基于通用第二因素，一种开放的标准易于最终用户使用和工程师直接嵌入硬件和网站。当插入一个标准的USB接口时，密钥提供一个“加密使用”，不可能被攻击者猜到或被网络仿冒。当用户登录时，除了正常的用户密码外，帐户还需要加密密钥。Google、Dropbox、GitHub和其他网站已经在他们的平台上实行了这一标准。

在经过两年多的公开实行和内部研究后，Google安全设计师已经宣布安全密钥是他们双因素身份验证的首选形式。设计师基于对简化使用和设置密钥，抵制网络仿冒和其他类型密码攻击的安全性，与其他形式的双因素身份验证隐私权衡的评估进行设计安全密钥。

在近期出版的报告中研究员写道：

我们已在Chrome浏览器中提供可支持的安全密钥，并且在Google的内部登录系统中能够有效利用安全密钥，google已经将安全密钥作为Goole网站服务的第二可用因素。在这项工作中，我们证明了安全密钥可以在低廉的支持成本下，提高安全级别和用户的满意度。

其他形式的双因素身份验证包括通过短信用手机接收一次性的密码或使用智能手机去形成这样的一次性的密码。登录时需要附加密码。第二种形式包括同样提供加密使用的智能卡片。第三种形式需要基于传输层安全协议的数字证书，并且使用一个秘钥来鉴定这项服务或账户的最终用户。

使用电话作为双因素身份验证是有问题的，原因有很多。一方面，一次性的密码可以被用于网络仿冒，用同样的技术欺骗用户揭露他们的常规密码。手机也冒着受恶意软件攻击的危险，这样使用一次性密码的安全性陷入危险中。通过SMS短信接收一次性的密码使用手机是非常危险的，因为除了上述列举的危险，还有短信可能被拦截的威胁。手机可能会没有信号或没电。当登录时，这些限制可以让它们不能用。

Google研究员表示，只使用智能卡片也是成问题的，因为它们通常需要定制的阅读器硬件和需要在用于登录的计算机上安装驱动程序。这使智能卡片很难在大量设备上使用。还存在的问题：在某些国家，这样的卡片由该国政府提供，利用卡片可以用来追踪用户的在线使用也会令人担忧。

多年来，用于验证用户身份的TLS证书都是个选项，从未流行过。研究员表明这可能是因为对于普通用户来说太复杂了，TLS证书很可能在网站上泄露用户的身份。TLS认证证书还会向任何网络入侵者显示用户的身份。此外，他们不可移动，这意味着对于普通用户来说很难在多台计算机上方便地使用。

和其他的选择相比，安全密钥提供了安全性、可用性和隐私性的最佳组合。他们只卖10美元，虽然有一些更受欢迎的品牌—比如Yubico U2F密钥售价为18美元。他们比门钥匙小，插入计算机的USB插槽并不需要电池。

在Hillary Clinton竞选活动主席John Podesta的Gmail的帐户被简单的网络钓鱼手法损害后，越来越多的人意识到双因素身份验证的至关重要性。虽然有多种方法去实现，但是研究文章提出了一个令人信服的理由，使我们相信基于U2F标准的安全密钥是最好的方法。

翻译来自：虫洞翻翻  译者ID：EmilyLee