fbpx

實體認證鑰匙更安全:Google 員工以實體認證鑰匙 防止網絡釣魚

網絡安全至關重要,一旦重要的信息資料被黑客盜取,後果不堪設想。而 Google 去年為了提升員工的帳號安全,防止黑客以網絡釣魚的方式盜取公司資料,由實體認證鑰匙取代目前使用的兩步驟驗證方法。

以實體認證鑰匙取代傳統短信驗證碼 防止網絡釣魚

目前在 Google 登入時,系統除了會要求用戶輸入設定好的密碼之後,亦會透過短訊、語音通話或流動應用程式,將驗證碼傳送至用戶的手機,從而登入帳號。

據Krebs on Security網站的報告指出,在2017年初開始,Google要求其85,000名員工在登錄各種帳戶時,使用實體認證鑰匙來取代目前使用兩步驟驗證方法。對比傳統通過短信等方式接收驗證碼,用戶需插入他們的實體認證鑰匙至電用腦來驗證他們的身份。

而實驗的結果非常好。谷歌發言人表示,自從在谷歌實施安全密鑰以來,他們沒有收到有任何未經授權而成功登入的報告。於處理不同應用程序所涉及的機密程度,和使用者當下可能面臨的風險,員工的確會在特定的環節中,被要求使用實體的安全密碼鎖來進行身份認證。

顯然,谷歌員工是黑客的主要目標。只要成功網絡黑入低級別的工作人員,也可以提供足夠的訪問權限進入敏感系統或提供一個跳躍點,以針對具有更深入訪問權限的員工。因此,當Google表示在一年內沒有發生任何已知事件的情況下,它已經遭受到數千次網路攻擊。

即使發送到手機的那些短信代碼也有機會被黑客劫持,而使用實體認證鑰匙插入到用戶正在使用的電腦,如果黑客要取得授權,他們必須親自操作設備,使安全性得到提升。

如果你希望在日常生活中使用U2F,Yubico和Feitian都是值得信賴的安全密鑰硬件製造商。

在我們找到更好的密碼替代品之前,U2F是保護自己的最佳選擇之一。不幸的是,它無處不在。它恰好在Google的Chrome瀏覽器中運行,因此有良好的PR角度。但它也可以在Firefox中手動配置。它也可用於Facebook等應用程序和LastPass等密碼管理器。

資料來源:gizmodo

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

限制時效已用盡。請重新載入驗證碼。