【翻墙问答】谷歌金钥有保安漏洞需更换 改用欧美生产较安全

2019-05-17
电邮
评论
Share
打印

问︰谷歌(Google)的Advanced Protection Program推荐的其中一款FIDO二步认证金钥,发现有保安问题,需要停用,以及更换相关的金钥,是哪一款金钥出问题,又出了甚么问题?

李建军︰这次需要更换的金钥,是谷歌委托中国深圳一间公司代为生产,以泰坦(Titan)为型号名的无线蓝芽金钥,而金钥的机身,印有T1或T2字样。谷歌指由于蓝芽设定上的失误,只要有人在你三十尺范围内,对方在可以有你的密码和帐户名称情况下,暗中取得你的资料。因为这次失误,无法透过软件升级解决,所以唯一方法是谷歌公司更换没有问题,但同公司所生产的蓝芽金钥,虽然这个做法并不理想,但为保障自己仍然合资格使用Advanced Protection Program,这是暂时可行的方法,或再花一点钱,买另一间公司在美国和瑞典制造的NFC金钥取代,或改用由欧美公司生产的蓝芽金钥。

问︰在之前翻墙问答,已经对这公司生产的金钥有保留,如果并无使用相关金钥,是否仍然要更换金钥?

李建军︰纵使你平日主力并非使用这次受影响的无线金钥,但由于这次问题,涉及可能有人近距离遥控偷户口的问题(在中国这种高度敏感的环境,相信中国当局或个别黑客,有可能滥用漏洞行事),以及慎防一旦你要使用后备金钥时,可能面对的风险,因此,你平日有没有用也好,谷歌虽然已经暂停有关金钥,你仍然应该更换金钥,并将旧金钥交予谷歌公司处置,而不是在中国这种环境,随意丢弃相关有问题的金钥。

问︰那由谷歌手上换来的新金钥,又应否使用?

李建军︰如果仍然由相关中国公司生产,你做好配对后,就当成后备金钥使用,纵使未有发现任何问题,平日不应主力使用中国公司生产的新金钥。

问︰这次出问题的技术,在于被称为BTLE的低耗能蓝芽技术之上,其实这个技术安不安全?有否足够的加密,避免问题发生?

李建军︰理论上,如果相关金钥使用蓝芽4.0或以上的技术,因为已经有128位元的AES加密,不应该出现问题,但因蓝芽始终是比较旧的技术,再加上有些设计人员处理不当的话,就会出现问题。理论上,蓝芽用于二步认证金钥上是安全,但实际上要视乎相关公司有否妥善作出设计。特别是蓝芽本来并非用于保安相关的应用上,蓝芽的用途广泛,由最初用于耳机,到今时今日连广告都会用得上蓝芽,蓝芽二步认证金钥的安全度,实有赖生产商的谨慎行事。如果相关生产商,有生产银行等使用的保安或加密产品经验,会令使用者比较有信心使用。

问︰为何NFC技术,暂时又未有问题?

李建军︰NFC技术因为本来设计用于财务交易之上,设计时所需发射范围极短,而且加密方面十分之强,亦保留十分少的空间在一些未加密通讯之上,所以至今大部分信用卡等交易,仍然十分信赖NFC。如果你的手机是属于比较新或高阶手机,支援NFC功能,那你应该用NFC版的二步认证金钥,而避免用蓝芽版。蓝芽版是针对无NFC支援,比较低阶或旧型号手机,那只是一个技术上的过渡方案。

完整网站