身份认证是信息安全最重要的环节之一,如何让网络服务提供者、服务器识别用户是本尊、或是冒充的恶意攻击者,就成了其中的关键因素。目前最普遍的方式之一就是通过密码进行识别,并可搭配两步验证提升安全性,Google则通过Android智能手机内置的安全密钥进行验证增进便利性。
在理想的状态下,密码是只有用户本人知道,而其他人都不知道的字符串,因此能够有效识别用户的身份。但是人们往往因为惰性、记不住密码,而设置太过简单、容易被猜中的密码,让安全性大打折扣。
而两步验证则是在原本的密码措施之上,额外增加1道防线,当用户(或是冒充的攻击者)在登录帐号时输入了正确的密码之后,系统会要求输入另一组时效极短的临时密码,再次确认用户身份。
这组临时密码往往通过短信发送至先前已绑定的手机,由于攻击者不太容易同时掌握第1阶段的密码,以及第2阶段的临时密码,所以能够有效增加安全性。
Google延续Titan Security Key硬件密码锁的概念,以FIDO(Fast IDentity Online,快速线上身份认证)联盟的规范为基础,推出具高度安全性且更加易于使用的机制,让用户能利用智能手机为计算机上的Google帐号进行两步验证。
如果要使用这个功能,用户需要准备搭载Android 7.0以上操作系统的智能手机,并打开手机的内置安全密钥功能,而且计算机方面支持Chrome OS、macOS X、Windows 10等操作系统的Chrome浏览器,此外计算机需支持蓝牙通信功能。
设置的过程需先在Android智能手机上登录Google帐号,并打开两步验证功能。接着在计算机上进入与上步骤相同的两步验证设置网页,并在增加安全密钥(Add security key)页面中,指定对应的Android智能手机。
当设置完成后,确定手机与计算机已通过蓝牙链接,就能在计算机登录Google帐号时,通过Android智能手机作为两步验证的硬件密码锁。
利用这种方式通过手机进行两步验证能够有效提升信息安全性,同时之间也不会让操作手续变得太过复杂,但如果对于安全的需求更高时,也可以参考USB接口的硬件密码锁,来达到更高层级的安全防护。