信息化觀察網(wǎng)

干掉了體驗(yàn)很差的網(wǎng)銀，讓網(wǎng)絡(luò)上的小額交易變得極為簡(jiǎn)單便利是支付寶、微信支付這類產(chǎn)品的一大功勞。曾經(jīng)我長篇大論吐槽過銀行的認(rèn)證機(jī)制，是如何因?yàn)闄C(jī)制死板像官僚機(jī)構(gòu)一樣“讓我證明我是我本人”的故事。但是，銀行畢竟是銀行，它在某些層面的不讓步，也從物理層面最大程度保障了資產(chǎn)安全。

如今金融體系和個(gè)人隱私都在線上打交道，也讓Google這樣的企業(yè)開始重新思考認(rèn)證機(jī)制，將最老套、有效的USBKey作為防范安全風(fēng)險(xiǎn)的手段。

Engadget中國昨天報(bào)道了Google 內(nèi)部要求85000 名員工使用實(shí)體安全密碼鎖取代傳統(tǒng)密碼作為身份認(rèn)證手段的新聞(2017年便開始)，也指出像Yubikey這類第三方機(jī)構(gòu)出品的實(shí)體密碼鎖也開始支持chrome、firefox等瀏覽器了。

這也讓我好奇，以數(shù)字機(jī)制為至上策略的科技公司們?yōu)楹伍_始選擇回歸這類產(chǎn)品?它真的能讓我們?cè)诰W(wǎng)絡(luò)上更加安全嗎?

理論上可以有效防范黑客

網(wǎng)絡(luò)安全是個(gè)宏大的議題，不僅僅是我們行為習(xí)慣存在弊病，企業(yè)防范措施、白帽子揭露漏洞機(jī)制和技術(shù)本身的更迭都會(huì)帶來潛在風(fēng)險(xiǎn)。

每年喜聞樂見的“最常見密碼揭露”都沒有什么大致區(qū)別，過去是最常用的“123456789”仍雄踞榜首，但是也出現(xiàn)了“password”這類騙自己的單詞類密碼。

隨著網(wǎng)絡(luò)攻擊和安全事件不斷產(chǎn)生，越來越多的人開始重視“兩步驗(yàn)證”和復(fù)雜密碼選項(xiàng)，例如Lastpass、1Password和蘋果自帶的iCloud鑰匙串等工具的發(fā)展，佐證了市場(chǎng)的前景。

但是，從心底來講，將密碼交由這些工具管理、設(shè)置，總有幾分擔(dān)心。雖然傳輸協(xié)議是高等級(jí)加密、雖然他們承諾自身的職責(zé)，但是隨著簡(jiǎn)便易用程度的上升，越來越多的密碼被交付給了它們，萬一哪天泄露就只有做透明人的份了。

據(jù)Geek用戶觀點(diǎn)，Lastpass 需要依賴第三方云服務(wù)同步密碼，安全性大大削弱，而1Password則有主機(jī)被攻擊的風(fēng)險(xiǎn)，Lastpass已然有前車之鑒被多次攻擊的情況出現(xiàn)。這類產(chǎn)品雖然是一種創(chuàng)新，但是卻利用了用戶們的惰性，懂安全的人永遠(yuǎn)更加安全，不懂的潛在風(fēng)險(xiǎn)也會(huì)極具提升。

當(dāng)人們從網(wǎng)絡(luò)層面保護(hù)網(wǎng)絡(luò)安全時(shí)，實(shí)際上在擔(dān)負(fù)更多成本和風(fēng)險(xiǎn)，所以USBKey這類產(chǎn)品重獲推崇是有一定的道理的，那句始終不變的俗語---“不聯(lián)網(wǎng)的電腦最安全”指出了物理安全才是最佳手段。

例如Yubikey這類產(chǎn)品支持OTP(動(dòng)態(tài)口令驗(yàn)證)、公鑰加密簽名、U2F協(xié)議(物理設(shè)備的雙因素認(rèn)證協(xié)議)等手段防范黑客攻擊，就可以將一些常用的保護(hù)途徑加固，不再像郵件、短信和設(shè)備通知那樣容易被破解。

雖然理論上如此，但是此類產(chǎn)品仍有各種缺陷。

覆蓋和易用性成為障礙

對(duì)于不善記憶密碼的普通人來講，設(shè)置無序且與自己無關(guān)的復(fù)雜密碼、用本子記下來多處備份后，仍比那些密碼管理工具更加安全，這就是典型的物理安全理論。

這樣做的好處是，你不是重要人物沒人盯著你的起居、冒風(fēng)險(xiǎn)偷你的密碼本，即便某次網(wǎng)絡(luò)安全事故某個(gè)賬戶密碼泄露，你的損失也僅此而已。不會(huì)像很多用同一個(gè)密碼的人可以被社會(huì)工程學(xué)一下攻破所有賬戶。

不過這顯然是與人性相悖的，Yubikey這類產(chǎn)品想要利用這種理論成為管理工具的實(shí)體替代品，切合了人性懶惰的特征和市場(chǎng)。

例如此產(chǎn)品支持的U2F協(xié)議，可以實(shí)現(xiàn)Google產(chǎn)品和一眾國外知名網(wǎng)絡(luò)服務(wù)的二次驗(yàn)證，只需要插入驗(yàn)證設(shè)備輕觸即可完成;理論上這種認(rèn)證協(xié)議是無法破解的，即便拿到了Yubikey這類產(chǎn)品。

這就像一個(gè)動(dòng)態(tài)加密的密碼本，只有你和對(duì)方知道如何使用算法，即便有人拿到密碼本，也無法破解算法內(nèi)容進(jìn)行“密碼戰(zhàn)”，設(shè)備丟失后可以選擇注銷設(shè)備權(quán)限等手段，所以損失是可控的。

U2F是此類產(chǎn)品中安全性最高的認(rèn)證協(xié)議，是本地運(yùn)算簽名的一種防范措施，但是OTP、和公鑰加密簽名等認(rèn)證手段，則需要依賴傳輸、保管、驗(yàn)證各個(gè)環(huán)節(jié)環(huán)環(huán)相扣，理論上安全性和應(yīng)用程度更低，可以利用某一環(huán)節(jié)漏洞反推破解。

不過，就連這兩項(xiàng)不太安全的協(xié)議，在我國很多網(wǎng)站仍沒有得到有效推行，即便支持、你購買Yubikey這類產(chǎn)品，也需要一定程度的編程知識(shí)，導(dǎo)入所需的認(rèn)證內(nèi)容。

不像Google那么擁有Geek屬性，考慮到最優(yōu)解有自家的U2F認(rèn)證產(chǎn)品，買來就可以上手實(shí)現(xiàn)防范。所以總結(jié)起來，市場(chǎng)前景廣闊，但也需要業(yè)界各方跟進(jìn)，不斷提升安全意識(shí)、給用戶一個(gè)最簡(jiǎn)便有效的方法，也讓自家產(chǎn)品獲得牢不可破聲譽(yù)。