大約三年前，谷歌推出了其高級保護計劃(APP)，這是一種針對高風險用戶的安全計劃，需要使用硬件密鑰才能訪問帳戶，并且可以說，這是業(yè)內(nèi)阻止帳戶接管的最有效方法。但是直到現(xiàn)在，APP仍然存在一個重大缺陷：它的iPhone和iPad產(chǎn)品對大多數(shù)用戶來說是有限的。現(xiàn)在，這種情況已經(jīng)發(fā)生了變化(更多的變化)，我很樂意更廣泛地推薦APP。

什么是應用程序?

通過要求用戶每次使用新設備登錄時除密碼外還要求用戶提供物理安全密鑰，APP旨在阻止俄羅斯特工在發(fā)布敏感電子郵件時用來破壞2016年總統(tǒng)大選的那種帳戶泄露行為民主黨高級官員。

DNC違規(guī)事件背后與俄羅斯有關(guān)的網(wǎng)絡釣魚活動也襲擊了Podesta，Powell

這些攻擊據(jù)稱是來自Google的令人信服的電子郵件的目標。他們錯誤地警告目標用戶的帳戶密碼已由外部人員獲得，應立即更改。當希拉里·克林頓(Hillary Clinton)的總統(tǒng)競選主席約翰·波德斯塔(John Podesta)和其他民主黨人合規(guī)時，他們實際上將密碼交還給了黑客。盡管黑客有許多方法可以破壞帳戶，但網(wǎng)絡釣魚仍然是最受歡迎的網(wǎng)絡釣魚之一，這既因為它很簡單，又因為成功率很高。

APP使得這種攻擊幾乎不可能。即使有人獲得了對密鑰的物理訪問權(quán)或?qū)εc之連接的設備進行了黑客攻擊，APP所需的物理密鑰上存儲的密碼秘密也無法被竊取，并且從理論上講也無法被提取。除非攻擊者竊取了密鑰(這在遠程上是行不通的)，否則即使他們獲得了目標的密碼也無法登錄。

將APP視為類固醇上的兩因素身份驗證(2FA)或多因素身份驗證(MFA)。

進一步閱讀

選擇2FA身份驗證器應用可能很困難。Ars做到了，所以您不必

安全從業(yè)人員幾乎一致認為物理密鑰是身份驗證器應用程序的一種更安全的MFA替代方案，該應用程序提供了一個不斷變化的密碼，用戶將其作為第二要素輸入。通過SMS文本消息發(fā)送時，臨時密碼甚至成為一個問題，它容易受到SIM交換攻擊和手機網(wǎng)絡的攻擊。一次性密碼也存在問題，因為它們可能被篡改并且在某些情況下可能會被盜。

進一步閱讀

小偷通過濫用SS7路由協(xié)議耗盡2fa保護的銀行帳戶

2016年對50,000名Google員工進行了為期兩年的研究，發(fā)現(xiàn)在安全性和可靠性方面，安全密鑰優(yōu)于其他形式的2FA。APP將物理密鑰的安全性與用于鎖定帳戶的嚴格方法結(jié)合在一起。當首次設置APP，用戶必須注冊兩個安全密鑰，如由Yubico或泰坦安全制成。一旦注冊了密鑰，所有可能登錄到該帳戶的設備都會自動注銷，并且只能使用其中一個密鑰作為第二因素重新登錄。

首次從任何新設備登錄時，用戶還必須使用這些鍵。(Google稱此過程為自舉)。設備通過身份驗證后，默認情況下，在后續(xù)登錄期間不再需要第二個身份驗證因子。即使這樣，如果公司員工看到來自可疑IP或其他跡象表明該帳戶已經(jīng)或即將被劫持的登錄信息，Google可能再次要求第二個因素。APP可與所有Google應用程序及其Nest系列智能家居服務一起使用，但將第三方應用程序限制為少數(shù)應用程序。谷歌表示，APP提供了額外的保護措施，但除此以外再沒有提供其他細節(jié)。

為了減輕引導負擔，用戶可以將其Android設備(以及最近的iOS設備)注冊為附加的物理密鑰，通過在引導過程中自動出現(xiàn)的屏幕上單擊“ 是”可以激活該物理密鑰。此選項的吸引力在于，用戶通常將手機放在口袋里，這比傳統(tǒng)的物理按鍵更方便。

這是在iOS和Android上的外觀：

iPhone(左)和Pixel(右)中的內(nèi)置安全密鑰。

放大 / iPhone(左)和Pixel(右)中的內(nèi)置安全密鑰。

基于電話的密鑰(符合最近引入的WebAuthn標準(稍后將進行詳細介紹))僅在電話和正在引導的設備上都啟用了藍牙時才起作用。最重要的是，只有當電話和自舉設備都非?？拷鼤r，按鍵才起作用。此要求解決了早期基于推送的2FA中的安全漏洞，在該漏洞中，用戶在成功輸入帳戶密碼后點擊電話上的“確定”按鈕。

與來自身份驗證器和SMS的臨時密碼類似，當攻擊者精心安排的登錄時間緊跟目標嘗試登錄到攻擊者的假站點時，可以繞過推送身份驗證保護。由于目標認為他們正在登錄，因此沒有理由不點擊“ 是”按鈕。藍牙要求增加了一個額外的障礙-攻擊者不僅必須擁有目標的帳戶密碼和正確的時間安排，而且攻擊者還必須與目標設備具有物理距離。

非常適合Android，但iOS呢?

作為安全專家和不時使用匿名消息源的記者，我使用我的個人帳戶和使用G Suite的工作帳戶注冊了APP。(我必須先要求管理員允許APP，但他能夠輕松打開它。)每個帳戶的處理過程不到5分鐘，還不包括購買兩個密鑰所花費的時間。從那時起，物理密鑰是提供第二個驗證因素的唯一方法。

盡管APP并不是抵御違規(guī)行為的靈丹妙藥，但它比我能想到的任何其他措施都能夠發(fā)揮更大的作用，可以防止由于網(wǎng)絡釣魚和利用受感染密碼而進行的其他類型的攻擊而導致帳戶受損。我喜歡保證，也喜歡可用性。使用支持NFC的Pixel XL，我可以輕松地在我擁有的所有設備上使用物理密鑰，即使在APP初期，密鑰選項受到更多限制的情況下也是如此。當我可以將手機用作安全密鑰時，事情變得更加容易。

但是，到目前為止，我還沒有建議在其他站點上普遍使用2FA的APP甚至物理密鑰。我的理由：Apple長期嚴格限制對Lightning端口的訪問，直到最近，iPhone和iPad NFC還是在這些設備上使用基于硬件的鍵進行了嚴格限制。幾乎不值得推薦一種對世界上最流行，最有影響力的平臺之一的用戶而言不愉快或不合適的身份驗證方法。

對于大多數(shù)APP而言，與iPhone和iPad配合使用的唯一物理按鍵是使用BLE的加密狗，它是BLE(藍牙低功耗)的縮寫。我發(fā)現(xiàn)這些加密狗易碎，笨重且容易出現(xiàn)故障，有時需要三次或更多次嘗試才能成功登錄。這些鍵與Apple的口頭禪“恰好有效”相對立。

谷歌警告藍牙泰坦安全密鑰可能會被附近的黑客劫持

更糟糕的是，我對藍牙安全性有疑問。一個漏洞筏，無論是在藍牙規(guī)范，并在它的一些的實現(xiàn)，提出正當關(guān)切，他們沒有經(jīng)過嚴格的安全審核。谷歌去年披露的一個漏洞使附近的黑客有可能劫持Titan藍牙配對過程，這并沒有讓我感到更好。(此缺陷已得到修復。)

缺乏可行的關(guān)鍵選項是Google無法控制的。蘋果公司從內(nèi)而外進行構(gòu)建的傳統(tǒng)以及對它認為未經(jīng)測試的技術(shù)的厭惡，使該公司向基于硬件的密鑰開放產(chǎn)品的速度很慢。結(jié)果，蘋果拒絕了允許iPhone和iPad通過NFC或通過其Lightning端口連接到大多數(shù)設備的電話。

盡管基于USB的密鑰可以在運行Chrome的Mac(以及Windows和Linux設備)以及后來的Firefox和其他瀏覽器上使用，但藍牙仍然是將密鑰連接到iPhone和iPad的唯一方法。最終，藍牙鍵似乎從未流行。例如，鑰匙制造商Yubico仍然不提供使用藍牙的產(chǎn)品。在Google支持論壇上，諸如此類的評論抓住了一些用戶因缺乏可行的選擇而感到沮喪的機會。由于iOS和iPadOS基本上被排除在外，因此Google和一些行業(yè)合作伙伴盡了最大的努力來尋找替代方案。

FIDO2

盡管基于硬件的2FA已經(jīng)存在了幾十年，但Google還是第一個通過APP向大眾推銷它的公司。該計劃最初是Google和Yubico在恩智浦的貢獻下開發(fā)的一個聯(lián)合項目，目的是讓Google員工登錄公司網(wǎng)絡。它的核心是稱為U2F的協(xié)議，它是Universal Second Factor的縮寫。該協(xié)議允許通過USB-C，NFC和BLE進行基于硬件的身份驗證。

最終，當Google和Yubico向FIDO Alliance提交U2F時，它成為了行業(yè)范圍內(nèi)的標準，該標準機構(gòu)開發(fā)了使用生物識別技術(shù)和安全密鑰來增強(有時在某些情況下替代)傳統(tǒng)密碼的身份驗證方法。到Google推出APP時，它已經(jīng)使用了最終的FIDO U2F標準。Facebook，GitHub，Dropbox和其他站點開始使用該標準來支持其站點上的安全密鑰，盡管其形式遠不如APP嚴格。

此后不久，F(xiàn)IDO將U2F名稱更改為CTAP1- 客戶端到身份驗證器協(xié)議的簡稱(CTAP2擴展到漫游身份驗證器用例，不在本文討論范圍之內(nèi))。CTAP1與稱為WebAuthn的單獨Web標準結(jié)合使用，該標準受到W3C機構(gòu)的監(jiān)督。隨之而來的是FIDO2，這是一個開放的標準，它提供了一整套的身份驗證協(xié)議，旨在比單獨的密碼更安全(在許多情況下更易于使用)。

例如，在2019年6月，谷歌開始允許APP賬戶持有人使用其Android手機作為安全密鑰登錄其iPhone和iPad，但此選項并不能使我確信APP已為iPhone和iPad準備就緒群眾。一旦我克服了學習曲線，該選項就足夠好了。但是即便如此，第二臺移動設備的需求(至少要運行一個競爭對手的操作系統(tǒng))意味著，它不太可能吸引大量的iOS和iPadOS用戶。

在2019年8月，Yubico發(fā)布了Yubikey 5Ci，這是一種密鑰，該密鑰使用專有技術(shù)連接到Apple的Lightning端口，而全世界都在等待Apple添加本機支持。大多數(shù)人幾乎沒有注意到，因為5Ci只能與新貴瀏覽器的《勇敢傳說》的iOS版本一起使用，然后只能用于數(shù)量很少的服務。更多主流瀏覽器和網(wǎng)站被完全排除在外。直到下個月(2019年9月)，用于macOS的Safari才添加了對物理密鑰的支持，從而使其成為最后一個這樣做的主要瀏覽器。

直到12月發(fā)布的iOS和iPadOS 13.3，Apple才通過稱為FIDO2的身份驗證標準添加了對NFC，USB密鑰的本機支持。這些添加是一項重大改進，但是它們有其??自身的局限性。七個月后，只有Safari和Brave(適用于iOS和iPadOS)可以使用身份驗證密鑰。提供基于硬件的2FA的各種站點都無法正常運行，或者根本無法在Brave中運行。當瀏覽器使用Yubico鍵時，根本不支持Titan的鍵。

令瀏覽器制造商和在線服務運營商感到沮喪的是，蘋果尚未發(fā)布第三方瀏覽器使用最近添加的本機支持才能真正讀取密鑰的編程接口。(借助專有的Yubico接口， Brave可以讀取5Ci密鑰。為了支持Yubico NFC密鑰，Brave使用Yubico接口和一組Apple API的組合，使iOS和iPadOS應用程序可以原始訪問支持NFC的設備。)Apple發(fā)言人確認公司尚未提供支持，但表示不應將其解釋為將來不會發(fā)生。

所有這些可用性限制使我根本沒有廣泛推薦物理密鑰，這再次是因為我不想為iOS和iPadOS認可一種MFA方法，而對于所有其他平臺都認可另一種MFA方法。