科技巨頭為何又愛回物理安全密鑰？

李垚

FIDO生態系統新認證標準

網絡釣魚是黑客獲取密碼的最常見方式之一，但物理安全密匙的出現卻將這種威脅徹底消除。簡單來說，物理安全密鑰可以提供額外的保護，即使黑客成功通過網絡釣魚竊取人們的密碼，他們也無法獲取安全密鑰。如果用戶訪問網絡釣魚網站，物理安全密鑰也可以發出警告。雖然物理安全密匙不是新鮮產物，但也許是看到了商機，也許是真的為用戶著想，近年來各個科技公司又開始采取這種老套又有效的方法。

比如現在我們iPhone手機的最新正式版本是iOS16.2，但iOS16.3的測試版已經出來了，新版本上看到另一個功能：iOS16與2FA安全密鑰（雙重身份驗證）的兼容，用于取代常用的驗證碼，這是蘋果為適應FIDO生態系統內的新認證標準而采取的舉措。

FIDO是一種在線驗證用戶身份的技術規范，是一個基于標準、可互操作的身份認證生態系統，其聯盟成員包括PayPal、聯想集團、NokNokLabs，每天全球有數十億人利用FIDO進行身份認證。

雙重身份驗證（2FA）是一種安全流程，可以提高一個人身份的真實性。其機制會請求用戶在訪問應用程序或系統之前，提供兩個不同的認證因素，而不是簡單地提供他們的用戶名和密碼。

實際上，目前我們有多個成熟的驗證方式：用戶名、密碼、面部識別和指紋。訪問密鑰其實是最常用的標準技術，與密碼不同，它可以防止網絡釣魚，并且經過精心設計，沒有共享的漏洞。它們簡化了應用程序和網站的賬戶注冊，易于使用，并且適用于所有Apple設備。

雖然有這么多傳統的身份驗證技術，但是蘋果這次在iOS16.3、iPadOS16.3和macOS13.2上要推出支持AppleID賬戶的物理安全密鑰。拿蘋果的官話來說：可選的安全功能專為希望“針對網絡釣魚或社會詐騙等針對性攻擊提供額外保護”的個人而設計，啟用后，登錄AppleID需要輸入用戶的賬戶密碼，然后使用FIDO認證的安全密鑰來完成雙因素身份驗證，而不是來自另一臺Apple設備的傳統六位數驗證碼。

安全密鑰如何工作

一般來說，2FA會在登錄新設備或長時間未使用的設備時發揮作用，并不是每次打開Mac或解鎖iPhone時都需要執行這個過程，正常情況下你的手機都是被指定為受信任的設備。2FA除了用戶名和密碼外，還為登錄過程增加了一個額外的步驟，要么將物理密匙直接插入設備上的數據端口，要么通過NFC協議進行無線通信。

要在iPhone或iPad上啟用AppleID的安全密鑰，先打開“設置”應用程序，點擊用戶的姓名，點擊“密碼和安全”，選擇“添加安全密鑰”，然后按照屏幕上的說明進行操作。在Mac上，打開“系統設置”應用程序，單擊姓名，單擊“密碼和安全”，單擊“安全密鑰”旁邊的“添加”，然后按照步驟操作。

蘋果推薦的YubiKey物理密鑰價格可都不便宜，分別是售價55美元（人民幣371元）、75美元（人民幣506元），還有一個25美元款，想要在系統上啟用功能，至少需要兩個物理安全密鑰，也就是說，想為iPhone提供極致防護，得花費1000元。

是不是覺得物理密鑰的樣子有點眼熟？有點像銀行U盾，安全理念也是類似的，就是為了提供讓第三方無法破解的安全等級。

物理安全密鑰能否高速前進

其實除了蘋果，這些年硬件廠商沒閑著，說誰跟風還說不準。比如亞馬遜上飛天誠信（feitian）、Yubico等廠商均有官方店鋪出售支持Windows系統安全加密的以上產品。比如FEITIANiePassK44與Yubikey5ci屬于類似產品，均為同時帶有USB-C、蘋果Lightning兩種接口的物理密鑰設備。可以同時適用于Android、iOS、MacOS、Linux、Windows等跨系統場景。

谷歌云全球NEXT大會上，也發布過自家的物理安全密鑰——TitanSecurityKey，Titan即“泰坦”，其是西方神話中的著名神族。TitanKey推出后，為谷歌打造了一道堅固“防火墻”。谷歌聲稱，近年來公司85000多名員工的工作賬號沒有一個遭遇黑客入侵，也從未遭到泄露。而這一切的原因，完全要歸功于公司之前測試的早期版本安全密鑰。也就是說，谷歌公司的員工使用物理安全密鑰進行雙重身份認證，保證了自身隱私的安全。

谷歌、蘋果等互聯網領域的巨頭將目標對準了物理安全密鑰，也許有一定道理，即便設備有點小貴，但相信特定人群還是愿意為此買單，物理安全密鑰或許未來會成為一種潮流。那么黑客今后又如何和這些大廠玩貓鼠游戲呢？矛和盾的問題，能否成為過去時？