【翻墙问答】FIDO 2金钥可无密码登入 减低资讯外泄

2018-11-30
电邮
评论
Share
打印

问:由Windows 10的1809版更新开始,以往用于Gmail、Dropbox等服务的二步认证USB金钥,可以直接用作登入Windows,以及Skype等户口,到底是怎样做?

李建军:由Windows 10的1809版开始,支援FIDO 2标准的USB金钥,可以经设定后,直接登入Windows帐户,或者在使用Outlook.com、Skype等的时候,配合Edge浏览器,做到无密码登入,只要插入USB金钥,以及按指示在金钥上轻轻接触一下,即可登入,令USB金钥不单可以用于Gmail二步认证,更可以直接当成密码使用,某程度上亦减轻因密码外泄,而导致资讯外泄问题。

问:要做到不用密码登入,USB金钥有甚么特别要求?是否有些USB金钥,用不到微软的新功能?

李建军:由于这次微软的新功能,是建基于FIDO 2技术标准,所以只有新一代使用FIDO 2标准的USB金钥,才能做到在Windows无密码登入。有部分人正使用FIDO标准,或者智能卡标准的金钥,就不能够享受微软Windows新功能提供的好处;如果要使用新功能,就需要购买新一代支援FIDO 2标准的USB金钥。

当然,微软使用的FIDO 2技术标准,原理上与使用旧有智能卡认证为基础的旧技术不同,因此旧有使用FIDO 1或智能卡技术作硬件认证的USB金钥,享受不到新技术带来的好处,亦可以理解。

另一方面,*如要在Gmail使用USB金钥作二步认证,必须如Chrome一样,要使用FIDO 2技术标准,在微软的平台做到无密码认证,除了要使用新一代Windows 10的1809版外,更要用Edge浏览器,因为暂时FIDO 1又好、FIDO 2又好,网站要与USB金钥互动,多少要依靠浏览器一些独有功能,因此现阶段Gmail要做到硬体二步认证,以至微软做到硬体无密码登入,都要使用自家相关厂商的浏览器。

问:那会不会日后任何浏览器都可以做到在支援FIDO技术的网站无密码登入?

李建军:理论上可以,因为现时有一套通用技术标准去支援FIDO,连Firefox都相当程度支援FIDO标准的金钥,目前未知Safari何时会支援相关标准,但由于Safari本身与Mac OS紧密相连,因此有可能要等到Mac OS有重大更新,才可能正式有Safari的支援。

只不过,由于无密码登入将会是一个趋势,再加上Safari与Chrome、Firefox等浏览器有相当程度的竞争,因此支援FIDO 2只是迟早问题,甚至有可能未来苹果自家的云端服务,都会作出相关的支援,回应用家的需要。

问:使用USB金钥作无密码登入,好处固然很清楚,但缺点又在哪里,而听众又怎样去克服这些缺点?

李建军:使用USB金钥作无密码登入,最大的风险的USB金钥物理上失窃,并且令匪徒有机可乘,可以在另一部电脑登入你的户口。因此实体上的防盗变得更为重要,你随身的USB金钥,必须一如家中的锁匙一样,不可以让陌生人保管,以及防止有盗贼在公众地方偷走你的锁匙。很多时,USB金钥与家中锁匙,都放在一样的地方,也就是这个原理。

很多人都有预备后备金钥,而且必须放于安全位置,例如家中夹万,不要随便摆放,因为后备金钥的功能上,与你现时使用的金钥是完全一样,并不会有甚么分别。

此外,如果你产生了一些备援密码都不要随便摆放,因为备援密码可以提供途径绕过USB金钥,所以备援密码,基本上不要存放在自己的电脑或未经加密U盘上,除非你的U盘放在夹万一类的地方。

---


*目前,要在Gmail使用USB金钥作二步认证,用户必须安装最新版的相容浏览器(例如 Chrome、Firefox、Opera 或 Edge),以及安全金钥必须能够支援「FIDO 通用第二要素」(U2F) 标准。

完整网站