如何使用安全密钥保护您的Google和Facebook帐户
3月下旬我在我的Gmail帐户上有一个令人不安的消息:“警告:谷歌可能已经检测到政府支持的攻击者试图窃取您的密码。“
谷歌在检测到“政府支持的攻击者”时会向其发送,已尝试通过网络钓鱼或恶意软件破解帐户。
上次我看到一个,我向我的许多帐户添加了两个因素身份验证。这次它促使我问:我可以更好吗?
Martyn Williams / IDGNSGoogle显示的安全警告消息。
事实证明我可以。
谷歌建议安全键作为更安全的替代方案。这些是从验证器应用程序中生成一次性令牌的少量USB设备,以代替六位数代码。
Google支持一种名为Fido Universal第2因子(U2F)的格式,它有助于开发。键可用于通过USB,蓝牙和NFC工作,因此除了PC之外,它们还可以与智能手机或平板电脑一起使用。
Martyn Williams / IDGNSFeitian(左)和yubico的硬件安全钥匙。
他们真的很容易使用。
首先,一旦您购买了一个密钥,需要在网站上注册。随后登录后,输入用户名和密码后出现提示。用键进行身份验证只是将其插入USB插座并按下小金盘子。
Martyn Williams / IDGNS一个对话框迎接用户登录的用户受安全密钥保护的Facebook帐户。
光盘触发要传输44个字符代码以确认登录的关键。代码的前12个字符是所使用的设备的公钥,其余32是用于登录尝试的唯一密码。
在智能手机上,可以简单地将NFC键放在手机背面以发送代码。
那就是这样。它比杂耍智能手机和认证代码更容易。
在你提交之前
U2F目前仅由两个浏览器,Google Chrome和Opera支持。他们一起占了大约三分之二的桌面浏览,可在Windows,MacOS和Linux上获得,因此市场的一部分很好,但如果您更喜欢Firefox,Safari或其他浏览器,则“LL需要转变。
U2F目前仅适用于少数场地和服务,但他们确实包括像谷歌,Facebook,Salesforce,Github和Dropbox这样的一些主要的网站和服务。简单地保护您的Google和Facebook帐户可能会引起足够的兴奋,以向键圈添加安全键,因为这两个站点都是网络攻击的主要目标并识别盗窃。
但是,如果你使用iPhone或iPad,坏消息。钥匙不适合使用这些设备。您应该没有android的问题。
Martyn Williams / IDGNSYubiCo最小的键可以滑入钱包或保留在USB插座中。
还要考虑物流。使用身份验证器应用程序,代码在您的手机处,您的手机通常与您同在。通过安全钥匙,您“LL需要携带它。好消息是,它的小,非常坚固,很容易坐在钥匙圈上。
知道你的标准
安全密钥还可用于保护对密码管理器的访问。
Dashlane Password Manager支持Fido U2F,而其他几个竞争对手,包括Lastpass,支持OTP,类似但不兼容的标准,因此您需要在购物时小心,因为并非所有键都会生成U2F和OTP代码。
一些最受欢迎的钥匙来自YubiCo,最多支持U2F和OTP,但该公司的最便宜与OTP兼容。
一步前进,两个步骤
虽然谷歌和Facebook都推动了安全密钥作为保持您的帐户安全的更好方法,但两家公司都有一个潜在的实施洞。如果您设置恢复电话号码以通过SMS接收安全代码,则该电话号码仍然处于活动状态,直到禁用它。
这是一个问题,因为SMS不是安全的传输信道。由于协议中的弱点,黑客已经设法攻击基于SMS的身份验证代码的攻击账户。
所以,您需要禁用手机备份。谷歌和Facebook的安全设置页面将允许您执行此操作。
虽然你在那里,它是一个好主意设置帐户登录警报,所以如果有人确实可以通过什么意思进入您的帐户,因此您会知道它。
谷歌和Facebook不会评论他们使用安全钥匙。
你在哪里可以使用安全密钥?
Yubico在其网站上有一个有用的矩阵,详细说明兼容性,并且有几个网站列表支持安全密钥以及他们使用的标准。一个由yubiCo维护,但发现最详尽的我发现来自德国的Nitrokey,也销售了安全钥匙。