【翻牆問答】Chrome69版新功能 二步認證金鑰防資料外洩

2018-09-07
電郵
評論
Share
打印

問:較早前,谷歌推出新的二步認證金鑰,可以配合Gmail的Advanced Protection Program(進階保護計劃)使用。谷歌聲稱在中國組裝前,在美國製造的晶片,已經封裝了谷歌為二步認證而特設的保安程式,因此縱使在中國組裝仍然十分安全。但中國聽眾,又應否相信谷歌的解釋?

李建軍:在短期內,如果晶片在美國生產,相關程式已被封裝入晶片之中,的確不一定會引發資訊洩漏,因為要破解晶片內的程式碼,並非一件容易的工作。如果谷歌的設計並無太明顯的漏洞,中國廠商要短期內破解金鑰的程式實在不容易。

但問題在於,暫時不知谷歌的設計本身有否出現保安漏洞,這還是小問題。最令人擔心是一至兩年後,中國公司可能已經暗中掌握當中的漏洞,因為負責組裝的深圳公司,並非一間單純的電子廠,本身亦具備設計和生產二步認證金鑰能力,這些公司的工程師,會比其他人更容易了解得到這些二步金鑰可能出現的設計漏洞,因此,谷歌的二步認證金鑰引發相當的保安疑慮,也是可以理解。倘若日後谷歌不只將生產程序外判給中國公司,而是外判給其他東南亞民主國家,那可能會相對令人放心。

如果你使用谷歌的二步認證金鑰,有可能要將自己的谷歌戶口同時搬到西方國家,那就會相對放心,至少避免日後谷歌搬到中國後,有可能出現的麻煩。而其他的二步認證金鑰,生產商不一定想售予中國用家,谷歌的二步認證金鑰可能是少數有外國公司監督製造、中國聽眾又能買到的二步認證金鑰。因此,聽眾可能沒有選擇的,唯有將戶口同時搬到外國,那就萬無一失。

問:今年9月4日,Chrome在十周年之際推出Chrome69版,不單用戶介面有所更新,而且會產生高強度密碼並自動儲存的功能,這功能要怎樣用?而對大部分聽眾而言,又將會有甚麼好處?


李建軍:最難被黑客撞破的密碼,當然是一串長而無意義的數字、符號和字母拼湊而成,只不過這樣做有一個很大的問題,就是一般人很難牢記這一連串字母、符號和數字,由於並無意義,不符合人類的記憶方式。所以Chrome69版開始,只要登入你的谷歌戶口,並且在網站登記新登入帳戶時,選擇由Chrome自動產生密碼,Chrome會幫你牢記密碼,你亦可以透過登入谷歌戶口去管理密碼。

屆時你的谷歌密碼就變得極之重要,因為一旦谷歌密碼被撞破,那你其他網站用甚麼高強度密碼都無濟於事,因此如果決定使用Chrome的高強度密碼功能,就一定要使用硬體二步認證金鑰,或手機軟件二步認證金鑰,作為二步認證工具。

而在中國方面,由於所有電訊公司都是國營電訊公司,更不應使用短訊作為二步認證工具。因為你的谷歌登入密碼變成了關鍵密碼,一旦二步認證就很容易被當局截取,當局的黑客只要能夠撞破你的谷歌密碼,你就甚麼資料都被當局成功掌握,那是十分之危險的事。

我個人推薦聽眾使用Chrome 69這個新功能,加強自己的戶口安全,但就需要提升谷歌戶口密碼的保安程度,以及必須使用二步認證功能登入,而最低限度必須使用Google Authenticator一類的手機二步認證軟件產生的相關二步認證碼登入,而不是用短訊。

完整网站