問:蘋果最新的Mac、iOS和iPad更新中,終於令Apple ID支援硬體金鑰進行二步認證。新措施對用戶有甚麼好處?
李建軍:Apple ID涉及iCloud等敏感個人資料,而Apple ID此前採用的二步認證方式,例如短訊認證,在我們早前 節目中也有分析過,有可能被中國當局中途攔截。因此,蘋果推出硬體金鑰支援Apple ID作二步認證是必要——唯有確保認證的資料不落入他人手中,敏感資料外洩的機會就大大減低。
問:如果我之前已經因參與谷歌的Advanced Protection Program,而有二步認證金鑰,那麼在進行Apple ID的二步認證時,是否都是用同一條金鑰?
李建軍:基本上可以用同一條金鑰,只要支援FIDO標準即可。但最早期Advanced Protection Program的參與者就最好先確認一下手上的金鑰是否與FIDO最新標準兼容,如果兼容的話,那基本上都無大問題。FIDO標準的硬體金鑰成為公認業界標準,是大勢所趨。
問:Apple ID支援硬體金鑰的情況,是否僅限於配合蘋果的Safari瀏覽器使用?使用 Safari以外瀏覽器的用戶能否受惠?
李建軍:由於蘋果是用業界標準技術,因此,用Chrome或Firefox等瀏覽器,只要是最新版本的話,都可以配合硬體金鑰登入Apple ID,不一定要用Safari。我們早前 介紹過,蘋果在中國和香港的Safari瀏覽器,採用騰訊反詐騙網站功能,已經引發相當大的私隱疑慮。
問:目前市面上支援FIDO的保安金鑰,都有很多不同款式,如要FIDO金鑰在蘋果裝置用得順暢,選購時有甚麼要注意?
李建軍:其實大致上,買同時支援USB和NFC的金鑰,已經可以在Mac、iPad和iOS的裝置上用。
有蘋果用戶以為買支援Lightning的金鑰更好,但其實反而有問題,因為下一代iPhone在歐盟指令下,已經以支援USB-C為主,專為Lightning而設的金鑰反而可能很快被淘汰。相反,支援NFC的金鑰可以同時兼容其他作業系統的手提設備,使用彈性大得多。因此,除非你只有蘋果的設備,否則NFC加上USB的組合是最好。
另外,市面上有些FIDO金鑰配備指紋認證等功能,售價一般更高。這個視乎用者的實際用途,但對大部分人來說,其實並不需要有指紋認證之類的功能。特別蘋果設備本身,不少都已經有生物特徵認證的功能。
問:購買蘋果推薦的硬體金鑰是否更有安全保障?對中國大陸的蘋果用戶而言,選購保安金鑰尤其要留意甚麼?
李建軍:其實不一定要買蘋果推薦的金鑰,因為只要符合FIDO標準,已經與蘋果的新技術兼容。蘋果近年已經主動支援業界標準,甚至成為業界標準其中一個制定者。現在已經很少再發生不用蘋果推薦的產品就會遇到技術問題這種狀況。
另外,即使是蘋果推薦的金鑰,如果是中國品牌或中國製造也不應該購買,因為現時不清楚中國當局會否不擇手段,在金鑰上擅加竊密工具,形成保安漏洞。一如以往節目所講,建議購買由西方國家製造的金鑰,在安全上才有保證。
不過,大陸用戶要購買西方國家的金鑰,有可能要委托海外親友幫忙,也有可能運送中國時,被中國海關收取關稅。至於香港的用戶,如果在海外購買金鑰,不會遇到抽關稅的問題。建議買由美國或瑞典製造的金鑰,安全程度是最有保證。
問:有人會將Android手機作實體安全金鑰之用,這種做法能否用於Apple ID二步認證上?
李建軍:只要Android手機變成保安金鑰後是兼容FIDO 2的標準,都可以將Android手機當成一條保安金鑰來用在Apple ID的二步認證上。只不過用手機作為保安金鑰,體積實在巨型,而且會受到手機電力耗盡的限制。我仍然鼓勵另行購買硬體金鑰,除了因為NFC硬體金鑰並不需要額外電源去維持運作,而且能減低手機被中國黑客入侵造成保安疑慮,因為這些金鑰基本上無任何空位可以駭入。