科技巨頭為何又愛回物理安全密鑰？

李垚

FIDO生態(tài)系統(tǒng)新認(rèn)證標(biāo)準(zhǔn)

網(wǎng)絡(luò)釣魚是黑客獲取密碼的最常見方式之一，但物理安全密匙的出現(xiàn)卻將這種威脅徹底消除。簡單來說，物理安全密鑰可以提供額外的保護(hù)，即使黑客成功通過網(wǎng)絡(luò)釣魚竊取人們的密碼，他們也無法獲取安全密鑰。如果用戶訪問網(wǎng)絡(luò)釣魚網(wǎng)站，物理安全密鑰也可以發(fā)出警告。雖然物理安全密匙不是新鮮產(chǎn)物，但也許是看到了商機(jī)，也許是真的為用戶著想，近年來各個(gè)科技公司又開始采取這種老套又有效的方法。

比如現(xiàn)在我們iPhone手機(jī)的最新正式版本是iOS16.2，但iOS16.3的測試版已經(jīng)出來了，新版本上看到另一個(gè)功能：iOS16與2FA安全密鑰（雙重身份驗(yàn)證）的兼容，用于取代常用的驗(yàn)證碼，這是蘋果為適應(yīng)FIDO生態(tài)系統(tǒng)內(nèi)的新認(rèn)證標(biāo)準(zhǔn)而采取的舉措。

FIDO是一種在線驗(yàn)證用戶身份的技術(shù)規(guī)范，是一個(gè)基于標(biāo)準(zhǔn)、可互操作的身份認(rèn)證生態(tài)系統(tǒng)，其聯(lián)盟成員包括PayPal、聯(lián)想集團(tuán)、NokNokLabs，每天全球有數(shù)十億人利用FIDO進(jìn)行身份認(rèn)證。

雙重身份驗(yàn)證（2FA）是一種安全流程，可以提高一個(gè)人身份的真實(shí)性。其機(jī)制會請求用戶在訪問應(yīng)用程序或系統(tǒng)之前，提供兩個(gè)不同的認(rèn)證因素，而不是簡單地提供他們的用戶名和密碼。

實(shí)際上，目前我們有多個(gè)成熟的驗(yàn)證方式：用戶名、密碼、面部識別和指紋。訪問密鑰其實(shí)是最常用的標(biāo)準(zhǔn)技術(shù)，與密碼不同，它可以防止網(wǎng)絡(luò)釣魚，并且經(jīng)過精心設(shè)計(jì)，沒有共享的漏洞。它們簡化了應(yīng)用程序和網(wǎng)站的賬戶注冊，易于使用，并且適用于所有Apple設(shè)備。

雖然有這么多傳統(tǒng)的身份驗(yàn)證技術(shù)，但是蘋果這次在iOS16.3、iPadOS16.3和macOS13.2上要推出支持AppleID賬戶的物理安全密鑰。拿蘋果的官話來說：可選的安全功能專為希望“針對網(wǎng)絡(luò)釣魚或社會詐騙等針對性攻擊提供額外保護(hù)”的個(gè)人而設(shè)計(jì)，啟用后，登錄AppleID需要輸入用戶的賬戶密碼，然后使用FIDO認(rèn)證的安全密鑰來完成雙因素身份驗(yàn)證，而不是來自另一臺Apple設(shè)備的傳統(tǒng)六位數(shù)驗(yàn)證碼。

安全密鑰如何工作

一般來說，2FA會在登錄新設(shè)備或長時(shí)間未使用的設(shè)備時(shí)發(fā)揮作用，并不是每次打開Mac或解鎖iPhone時(shí)都需要執(zhí)行這個(gè)過程，正常情況下你的手機(jī)都是被指定為受信任的設(shè)備。2FA除了用戶名和密碼外，還為登錄過程增加了一個(gè)額外的步驟，要么將物理密匙直接插入設(shè)備上的數(shù)據(jù)端口，要么通過NFC協(xié)議進(jìn)行無線通信。

要在iPhone或iPad上啟用AppleID的安全密鑰，先打開“設(shè)置”應(yīng)用程序，點(diǎn)擊用戶的姓名，點(diǎn)擊“密碼和安全”，選擇“添加安全密鑰”，然后按照屏幕上的說明進(jìn)行操作。在Mac上，打開“系統(tǒng)設(shè)置”應(yīng)用程序，單擊姓名，單擊“密碼和安全”，單擊“安全密鑰”旁邊的“添加”，然后按照步驟操作。

蘋果推薦的YubiKey物理密鑰價(jià)格可都不便宜，分別是售價(jià)55美元（人民幣371元）、75美元（人民幣506元），還有一個(gè)25美元款，想要在系統(tǒng)上啟用功能，至少需要兩個(gè)物理安全密鑰，也就是說，想為iPhone提供極致防護(hù)，得花費(fèi)1000元。

是不是覺得物理密鑰的樣子有點(diǎn)眼熟？有點(diǎn)像銀行U盾，安全理念也是類似的，就是為了提供讓第三方無法破解的安全等級。

物理安全密鑰能否高速前進(jìn)

其實(shí)除了蘋果，這些年硬件廠商沒閑著，說誰跟風(fēng)還說不準(zhǔn)。比如亞馬遜上飛天誠信（feitian）、Yubico等廠商均有官方店鋪出售支持Windows系統(tǒng)安全加密的以上產(chǎn)品。比如FEITIANiePassK44與Yubikey5ci屬于類似產(chǎn)品，均為同時(shí)帶有USB-C、蘋果Lightning兩種接口的物理密鑰設(shè)備?？梢酝瑫r(shí)適用于Android、iOS、MacOS、Linux、Windows等跨系統(tǒng)場景。

谷歌云全球NEXT大會上，也發(fā)布過自家的物理安全密鑰——TitanSecurityKey，Titan即“泰坦”，其是西方神話中的著名神族。TitanKey推出后，為谷歌打造了一道堅(jiān)固“防火墻”。谷歌聲稱，近年來公司85000多名員工的工作賬號沒有一個(gè)遭遇黑客入侵，也從未遭到泄露。而這一切的原因，完全要?dú)w功于公司之前測試的早期版本安全密鑰。也就是說，谷歌公司的員工使用物理安全密鑰進(jìn)行雙重身份認(rèn)證，保證了自身隱私的安全。

谷歌、蘋果等互聯(lián)網(wǎng)領(lǐng)域的巨頭將目標(biāo)對準(zhǔn)了物理安全密鑰，也許有一定道理，即便設(shè)備有點(diǎn)小貴，但相信特定人群還是愿意為此買單，物理安全密鑰或許未來會成為一種潮流。那么黑客今后又如何和這些大廠玩貓鼠游戲呢？矛和盾的問題，能否成為過去時(shí)？