Pages

Sunday, 24 June 2018

加密金钥新二步认证方式不易被破解

问︰在新出的Firefox 60版本加设了一项新功能,在这项功能下,只要凭USB的加密金钥,就可以即时登入户口,那是怎样的新技术,其实又安不安全?

李建军︰Firefox 60是世上第一个支援Web Authentication标准的浏览器,这个由国际组织所制订的新技术标准,在未来Chrome以及微软的Edge浏览器都会支援,相信Safari将来也会。支援Web Authentication的浏览器,可以直接插入符合U2F或FIDO标准的加密金钥、苹果iOS上的生物认证机制等,都可以用来做登入之用,而不用任何密码。

在网站而言,暂时Dropbox是第一个支援这个标准的网站,只要你在Dropbox设定USB加密金钥做二次认证,当你在Firefox 60登入Dropbox时,就可以直接插入已经事前作了认证的金钥,直接完成整个登入程序,不单方便,而且亦再不用记密码。当然,由于USB加密金钥主要支援USB,所以桌面电脑受惠。而在Android和iOS版的Firefox,暂时未见支援。Dropbox的App,亦暂未加入这项标准的支援。

这集翻墙问答,我准备了视频,示范如何在Dropbox设定USB加密金钥的二步认证,欢迎各位浏览本台网站,收看有关视频。现时Dropbox仍要先设定传统的二步认证,再设定USB加密金钥,而我个人建议直接跳过手机短讯二步认证,下载手机二步认证程式去完成。因为中国当局控制的电讯公司,有机会利用手机二步认证码的保安漏洞胡作非为,但像Google Authenticator一类的程式,就不大有机会被当局成功骑劫。

问︰那用USB加密金钥取代密码,又有甚么好处?

李建军︰密码,除了容易忘记外,还有一个问题在于,现代的电脑运算力愈来愈强,而中国当局亦都将超级电脑,投放在监控人民,或暴力破解异见人士户口密码等用途上,由人设定的密码,设得太复杂,就很容易忘记,但设得太容易,就很容易遭到当局暴力破解。因此,才有二步认证的出现。

硬件加密金钥由于不容易拆解,而且硬件所代表的复杂代码,用超级电脑进行暴力破解亦需时甚久,以几年起计算,因此,现时硬件加密金钥,以及各类不同的生物认证机制,渐渐被认为是作为二步认证,甚至取代一般密码登入用途的最佳工具,因为都是难以拆解,而且亦难于被复制。像USB加密金钥并非一般USB的储存装置,基本上亦不具备复制的可能性。

问︰其实不少人使用USB解密金钥时,都有个疑问,这些金钥会不会像USB手指般,很容易有不同硬件上的损耗,在数年后要用金钥时,因为硬件物理上损坏,而在使用上出现麻烦?

李建军︰USB解密金钥一般制造和设计时,都考虑到这个问题,因为所用的金属接触面不易氧化,而亦耐磨和防水;而为了保安上的考量,亦不可能用任何器具撬开USB解密金钥,相对安全的。
只不过,这些解密金钥仍有一个敌人,那是一些会释放高电压的USB埠口,正如有些人会利用会发出高电流和电压的USB装置,摧毁电脑底板,类似原理的东西,一样可以摧毁USB保安金钥,因此如果要将USB保安金钥插到其他装置,唯一绝不可以插的就是类似火牛的东西,因为不知这些金钥能否承受极高压或极大电流的冲击,这些USB保安金钥,必需确保只能插在一些安全的装置,例如一般的个人电脑或平板电脑,而不要贪玩乱插在充电火牛,或一些不明来历的奇怪装置之中。

No comments:

Post a Comment