【翻墙问答】Chrome69版新功能 二步认证金钥防资料外泄

问:较早前,谷歌推出新的二步认证金钥,可以配合Gmail的Advanced Protection Program(进阶保护计划)使用。谷歌声称在中国组装前,在美国制造的晶片,已经封装了谷歌为二步认证而特设的保安程式,因此纵使在中国组装仍然十分安全。但中国听众,又应否相信谷歌的解释?

问:较早前,谷歌推出新的二步认证金钥,可以配合Gmail的Advanced Protection Program(进阶保护计划)使用。谷歌声称在中国组装前,在美国制造的晶片,已经封装了谷歌为二步认证而特设的保安程式,因此纵使在中国组装仍然十分安全。但中国听众,又应否相信谷歌的解释?

李建军:在短期内,如果晶片在美国生产,相关程式已被封装入晶片之中,的确不一定会引发资讯泄漏,因为要破解晶片内的程式码,并非一件容易的工作。如果谷歌的设计并无太明显的漏洞,中国厂商要短期内破解金钥的程式实在不容易。

但问题在于,暂时不知谷歌的设计本身有否出现保安漏洞,这还是小问题。最令人担心是一至两年后,中国公司可能已经暗中掌握当中的漏洞,因为负责组装的深圳公司,并非一间单纯的电子厂,本身亦具备设计和生产二步认证金钥能力,这些公司的工程师,会比其他人更容易了解得到这些二步金钥可能出现的设计漏洞,因此,谷歌的二步认证金钥引发相当的保安疑虑,也是可以理解。倘若日后谷歌不只将生产程序外判给中国公司,而是外判给其他东南亚民主国家,那可能会相对令人放心。

如果你使用谷歌的二步认证金钥,有可能要将自己的谷歌户口同时搬到西方国家,那就会相对放心,至少避免日后谷歌搬到中国后,有可能出现的麻烦。而其他的二步认证金钥,生产商不一定想售予中国用家,谷歌的二步认证金钥可能是少数有外国公司监督制造、中国听众又能买到的二步认证金钥。因此,听众可能没有选择的,唯有将户口同时搬到外国,那就万无一失。

问:今年9月4日,Chrome在十周年之际推出Chrome69版,不单用户介面有所更新,而且会产生高强度密码并自动储存的功能,这功能要怎样用?而对大部分听众而言,又将会有甚么好处?


李建军:最难被黑客撞破的密码,当然是一串长而无意义的数字、符号和字母拼凑而成,只不过这样做有一个很大的问题,就是一般人很难牢记这一连串字母、符号和数字,由于并无意义,不符合人类的记忆方式。所以Chrome69版开始,只要登入你的谷歌户口,并且在网站登记新登入帐户时,选择由Chrome自动产生密码,Chrome会帮你牢记密码,你亦可以透过登入谷歌户口去管理密码。

届时你的谷歌密码就变得极之重要,因为一旦谷歌密码被撞破,那你其他网站用甚么高强度密码都无济于事,因此如果决定使用Chrome的高强度密码功能,就一定要使用硬体二步认证金钥,或手机软件二步认证金钥,作为二步认证工具。

而在中国方面,由于所有电讯公司都是国营电讯公司,更不应使用短讯作为二步认证工具。因为你的谷歌登入密码变成了关键密码,一旦二步认证就很容易被当局截取,当局的黑客只要能够撞破你的谷歌密码,你就甚么资料都被当局成功掌握,那是十分之危险的事。

我个人推荐听众使用Chrome 69这个新功能,加强自己的户口安全,但就需要提升谷歌户口密码的保安程度,以及必须使用二步认证功能登入,而最低限度必须使用Google Authenticator一类的手机二步认证软件产生的相关二步认证码登入,而不是用短讯。