iPhone可充当实体金钥,进行谷歌二步验证

问︰谷歌公布了最新实体金钥（亦即物理安全金钥）的安排，连iPhone都可以做作为二步认证谷歌账户的实体金钥，iPhone怎样可以充当实体金钥，还需要搭配用短信吗？还是有其他方法，不知能否介绍一下？

李建军︰这次谷歌用iPhone做实体金钥，原理和Android 7以上版本的手机可用做实体金钥的原理相类似，都是透过蓝芽通讯来实现实体金钥功能。因此，你的iPhone无须另外用短信实现实体金钥功能。与Android机唯一不同是你需要在iPhone上装载谷歌Smart Lock程式。另外，你的iPhone的作业系统需要在10以上才可以用作实体金钥。换言之，一些很旧的iPhone，像iPhone 5，只要作业系统在iOS 10以上，都可以充当实体金钥，但iPhone 4S就不成，因为iPhone 4S并不支援iOS 10或以上版本，安装不了谷歌的Smart Lock程式。

具体操作时，只要你电脑上使用的浏览器是Chrome，再联通iPhone和电脑之间的蓝芽，就可以令你的iPhone手机充当实体金钥，进行谷歌二步认证。

问︰用iPhone做实体金钥，确实减少了在海外邮购实体金钥的麻烦，但手机做实体金钥有甚么缺点？

李建军︰首先，手机体积远比实体金钥为大，这个缺点是十分之明显不过。如果要随身携带，手机不见得特别有优势。

另一方面，一般实体金钥是可以不用额外电力下操作，但无论以Android还是iPhone手机作为实体金钥，因为依靠蓝芽交换资料操作，如果你手机无电，就得等到你手机充了电启动后再作有关动作。

但更大问题在于，如果你手机坏了，或者你的手机被偷，你就等于少了一个金钥，而手机被偷的机会远大于实体金钥——除了对国安这类特殊窃匪会有针对性地偷取金钥以获取情报，对大部分窃匪而言，实体金钥偷来并无太大价值，但手机可以转售套现。因此，手机被偷的风险远大于一般实体金钥。

单纯用手机做金钥，有如将所有鸡蛋放同一个篮内，其实是风险很大的事，要这样做之前，应该审慎评估自身的保安风险。如果你曾经被偷手机，或者有手机被公安、国安拘留的纪录，我个人并不建议你用手机充当保安金钥，就算是作为后备保安金钥都不大建议。

至于一般的用户，以手机作为后备金钥，或者是可以考虑的安排，但主打仍然需要配备不用电的传统USB加上NFC的金钥，以策安全。而国内用户假如无法邮购海外的实体金钥，建议不要购买谷歌在中国生产支援蓝芽的金钥，可以手机充电实体金钥，但建议选购时选择非中国制造的Android手机。

问︰用蓝芽和电脑相互通讯来实现保安金钥功能，会不会有保安风险？蓝芽设备之间的加密够不够？

李建军︰蓝芽现代版本协议，都是使用AES加密方式通讯，其实AES的加密强度十分足够，在量子电脑未流行前，都不用太担心加密的问题，因为AES 128位元加密，都要十分强大的运算力才能暴力破解。

另一方面，由于蓝芽功率细，发射距离十分短，一般只有十米，而且不具备穿墙能力，除非对方十分之接近你，例如在同一间房，否则正常都不会截取得到你的蓝芽通讯，这亦是现时主流保安金钥，除了用NFC外，便是用蓝芽通讯的原因。现时蓝芽是十分之安全可靠，至少未有严重资料失窃事件发生过。