【翻墙问答】Apple ID支援硬体金钥作二步认证

2017年6月30日，图片展示了一条法典造型的USB金钥。

问：苹果最新的Mac、iOS和iPad更新中，终于令Apple ID支援硬体金钥进行二步认证。新措施对用户有甚么好处？

李建军：Apple ID涉及iCloud等敏感个人资料，而Apple ID此前采用的二步认证方式，例如短讯认证，在我们早前节目中也有分析过，有可能被中国当局中途拦截。因此，苹果推出硬体金钥支援Apple ID作二步认证是必要——唯有确保认证的资料不落入他人手中，敏感资料外泄的机会就大大减低。

问：如果我之前已经因参与谷歌的Advanced Protection Program，而有二步认证金钥，那么在进行Apple ID的二步认证时，是否都是用同一条金钥？

李建军：基本上可以用同一条金钥，只要支援FIDO标准即可。但最早期Advanced Protection Program的参与者就最好先确认一下手上的金钥是否与FIDO最新标准兼容，如果兼容的话，那基本上都无大问题。FIDO标准的硬体金钥成为公认业界标准，是大势所趋。

问：Apple ID支援硬体金钥的情况，是否仅限于配合苹果的Safari浏览器使用？使用 Safari以外浏览器的用户能否受惠？

李建军：由于苹果是用业界标准技术，因此，用Chrome或Firefox等浏览器，只要是最新版本的话，都可以配合硬体金钥登入Apple ID，不一定要用Safari。我们早前介绍过，苹果在中国和香港的Safari浏览器，采用腾讯反诈骗网站功能，已经引发相当大的私隐疑虑。

问：目前市面上支援FIDO的保安金钥，都有很多不同款式，如要FIDO金钥在苹果装置用得顺畅，选购时有甚么要注意？

李建军：其实大致上，买同时支援USB和NFC的金钥，已经可以在Mac、iPad和iOS的装置上用。

有苹果用户以为买支援Lightning的金钥更好，但其实反而有问题，因为下一代iPhone在欧盟指令下，已经以支援USB-C为主，专为Lightning而设的金钥反而可能很快被淘汰。相反，支援NFC的金钥可以同时兼容其他作业系统的手提设备，使用弹性大得多。因此，除非你只有苹果的设备，否则NFC加上USB的组合是最好。

另外，市面上有些FIDO金钥配备指纹认证等功能，售价一般更高。这个视乎用者的实际用途，但对大部分人来说，其实并不需要有指纹认证之类的功能。特别苹果设备本身，不少都已经有生物特征认证的功能。

问：购买苹果推荐的硬体金钥是否更有安全保障？对中国大陆的苹果用户而言，选购保安金钥尤其要留意甚么？

李建军：其实不一定要买苹果推荐的金钥，因为只要符合FIDO标准，已经与苹果的新技术兼容。苹果近年已经主动支援业界标准，甚至成为业界标准其中一个制定者。现在已经很少再发生不用苹果推荐的产品就会遇到技术问题这种状况。

另外，即使是苹果推荐的金钥，如果是中国品牌或中国制造也不应该购买，因为现时不清楚中国当局会否不择手段，在金钥上擅加窃密工具，形成保安漏洞。一如以往节目所讲，建议购买由西方国家制造的金钥，在安全上才有保证。

不过，大陆用户要购买西方国家的金钥，有可能要委托海外亲友帮忙，也有可能运送中国时，被中国海关收取关税。至于香港的用户，如果在海外购买金钥，不会遇到抽关税的问题。建议买由美国或瑞典制造的金钥，安全程度是最有保证。

问：有人会将Android手机作实体安全金钥之用，这种做法能否用于Apple ID二步认证上？

李建军：只要Android手机变成保安金钥后是兼容FIDO 2的标准，都可以将Android手机当成一条保安金钥来用在Apple ID的二步认证上。只不过用手机作为保安金钥，体积实在巨型，而且会受到手机电力耗尽的限制。我仍然鼓励另行购买硬体金钥，除了因为NFC硬体金钥并不需要额外电源去维持运作，而且能减低手机被中国黑客入侵造成保安疑虑，因为这些金钥基本上无任何空位可以骇入。