现在的位置: 首页资讯>正文
这类便宜的USB设备 或许是对付账户劫持的最好方法
2017年01月03日 作者: 暂无评论 257+ 0

过去五年以来,发生了一系列备受瞩目的账户挟持事件。网络安全专家群体中逐渐形成了一个共识:即使是随机产生的冗长密码也不能百分之百保证电子邮件以及其他的网上资产的安全。基于这个共识,网络安全专家们认为这些网上资产需要第二层身份验证来提供额外的保障。一个为期两年,有超过50,000名谷歌员工参与的研究结果表明,以密码学为基础制造的实体安全密匙在安全性上超越了以移动电话为代表的其他双重验证方案。

USB

这些实体安全密匙是以Universal Second Factor (U2F)技术为基础。U2F是一种能够同时满足终端用户易用性和软件工程师易嵌入性要求的开源标准。当被插入标准USB接口的时候,实体密匙提供一种基本不可能被袭击者猜中或者毁坏的加密声明。账户可以在普通用户密码之外,要求用户在登录的时候提供这样的密码钥匙。Google, Dropbox, GitHub和其他一些网站已经在他们的平台上实施了U2F的标准。

经过超过两年的公开推行和内部调研,Google的安全架构师宣布实体安全密匙成为他们首选的双重身份验证方案。架构师们的评估是基于几个关键因素,包括使用和部署密匙的便捷性,应对身份仿冒及其他形式的密码袭击时所提供的安全性,和其他双重身份验证所不具备的、针对个人隐私更强的保密性。

在一份最近发表的报告中,研究人员写到:

我们已经在Chrome浏览器中添加了支持实体密匙的功能,并将其使用在Google内部的登录系统中,同时在Google的Web服务中使实体密匙成为可使用的第二重身份验证方式之一。在这篇报告中,我们展示了实体密匙在降低保障成本之余,提供了更强的安全性能和更好的用户体验满意度。

其他的双重身份验证形式包括使用移动电话的短信功能收取一次性的密码,或者使用智能手机来生成类似的一次性密码。在登录时,用户需要提供这个额外的密码。第二种形式使用的是同样可以提供加密声明的智能卡。第三种形式使用的是基于网络传输层安全协议的数字证书,使用保密密匙来验证终端用户在登录一个服务或者账号时的身份。

使用电话来做双重身份验证存在各种问题。其一,一次性的密码经常会被网络钓鱼攻击,攻击所使用的方法与欺骗用户透露普通密码的方法是相同的。同时,使用智能手机需要面对恶意软件的威胁,这会危害到一次性密码的保密性。使用电话短信收取一次性密码的形式是特别危险的,因为除了以上提到的风险之外,短信被拦截接收的危险也是存在的。我们无法保证电话永远都有信号,同时电话有可能耗光电量,这样限制条件会导致电话在用户需要登录的时候无法使用。

根据Google研究人员的报告,智能卡也会存在问题,因为智能卡的使用通常会要求在任何用户可能用来登陆的电脑上安装特制的读卡器和驱动程序。这使智能卡在大规模设备上的使用变得尤为困难。除此以外,在一些国家,这样的智能卡是需要由政府来提供。这样的情况让人不免担心智能卡可能会被用来追踪用户的网上使用行为。

使用安全传输层协议(TLS)证书来验证用户身份的形式多年以来都作为一个选项存在,但它们从来没能变的流行起来。研究人员提到,这有可能是因为证书的生成对于普通用户来讲是十分困难的。同时,使用TLS证书有很大机会造成用户身份的泄漏。TLS验证证书会向任何网络上的敌人透露用户的身份。此外,证书是不可移植的,这让普通用户很难在多个设备上使用它。

对比其他的选择,实体安全密匙提供了安全性、易用性和私密性的最佳组合。虽然一些流行品牌的密匙产品售价为18美元,比如Yubico生产的U2F密匙,普通密匙的售价基本低至10美元。这些密匙体积比门锁钥匙还要小,可以很便捷的插入电脑的USB接口,同时不需要电池。

当美国总统候选人希拉里克林顿的竞选主席的Gmail账户被以简单的仿冒手段攻破之后,越来越多的人意识到了双重身份验证的重要性。虽然有很多不同的形式来实现双重身份验证,研究报告中以令人信服的案例说明了基于U2F标准的实体密匙是最好的选择。

搜索"爱板网"加关注,每日最新的开发板、智能硬件、开源硬件、活动等信息可以让你一手全掌握。推荐关注!

【微信扫描下图可直接关注】

eB3.png (227×228)

相关阅读:

树莓派vsGalileo,嵌入式计算和开源硬件未来

  

相关文章

离了WIFI还能活?这项黑科技已被应用到“安卓之父”Essential Phone手机上
WiFi001

8月18日消息,许多现代都市人似乎都患上了离开WiFi就无法生活的“病”,而三星和富士康就希望能够治好这些人。近日一家名为Keyssa的初创公司正在与三星富士康等公司合作,推出一种新的短距离无...

看看老外怎么吐槽廉价的Made in China电子产品的

最近在遭遇到产品接二连三地发生故障后,我不禁想问在“中国制造”(Made in China)的产品是否真的让我们比较省钱,还是付出更大的代价?虽然造成产品不断出现故障的罪魁祸首似乎总是USB连接线...

插上英特尔这款设备让人工智能触手可及!
Neural compute stick

英特尔为开发人员和研究人员提供了将人造智能(AI)快速并入其设计中的容易程度。

传输速率可高达 2GB/s ,向下兼容!USB 3.2 规范草案发布
USB

由数间业界大牛企业共同组成的 USB 3.0 推广组织(USB Promoter Group),今天发布了 USB 3.0 规范的“小改版”USB 3.2 更新,以此来替代目前的USB3.1标准。

如何选择满足USB Type-C和QC 3.0这两个标准的电源控制器,这是个问题
Type-C001

USB Type-C接口的目标是将不同电子设备之间的互联采用统一的接口,同时可以提供电源和传输数据,也支持音视频和客户个性化的通信协议。而Quick Charge是通过提升输出电压来降低电缆和接头上...

给我留言

您必须 [ 登录 ] 才能发表留言!