Pages

Saturday, 18 January 2020

iPhone可充当实体金钥,进行谷歌二步验证

问︰谷歌公布了最新实体金钥(亦即物理安全金钥)的安排,连iPhone都可以做作为二步认证谷歌账户的实体金钥,iPhone怎样可以充当实体金钥,还需要搭配用短信吗?还是有其他方法,不知能否介绍一下?

李建军︰这次谷歌用iPhone做实体金钥,原理和Android 7以上版本的手机可用做实体金钥的原理相类似,都是透过蓝芽通讯来实现实体金钥功能。因此,你的iPhone无须另外用短信实现实体金钥功能。与Android机唯一不同是你需要在iPhone上装载谷歌Smart Lock程式。另外,你的iPhone的作业系统需要在10以上才可以用作实体金钥。换言之,一些很旧的iPhone,像iPhone 5,只要作业系统在iOS 10以上,都可以充当实体金钥,但iPhone 4S就不成,因为iPhone 4S并不支援iOS 10或以上版本,安装不了谷歌的Smart Lock程式。

具体操作时,只要你电脑上使用的浏览器是Chrome,再联通iPhone和电脑之间的蓝芽,就可以令你的iPhone手机充当实体金钥,进行谷歌二步认证。

问︰用iPhone做实体金钥,确实减少了在海外邮购实体金钥的麻烦,但手机做实体金钥有甚么缺点?

李建军︰首先,手机体积远比实体金钥为大,这个缺点是十分之明显不过。如果要随身携带,手机不见得特别有优势。

另一方面,一般实体金钥是可以不用额外电力下操作,但无论以Android还是iPhone手机作为实体金钥,因为依靠蓝芽交换资料操作,如果你手机无电,就得等到你手机充了电启动后再作有关动作。

但更大问题在于,如果你手机坏了,或者你的手机被偷,你就等于少了一个金钥,而手机被偷的机会远大于实体金钥——除了对国安这类特殊窃匪会有针对性地偷取金钥以获取情报,对大部分窃匪而言,实体金钥偷来并无太大价值,但手机可以转售套现。因此,手机被偷的风险远大于一般实体金钥。

单纯用手机做金钥,有如将所有鸡蛋放同一个篮内,其实是风险很大的事,要这样做之前,应该审慎评估自身的保安风险。如果你曾经被偷手机,或者有手机被公安、国安拘留的纪录,我个人并不建议你用手机充当保安金钥,就算是作为后备保安金钥都不大建议。

至于一般的用户,以手机作为后备金钥,或者是可以考虑的安排,但主打仍然需要配备不用电的传统USB加上NFC的金钥,以策安全。而国内用户假如无法邮购海外的实体金钥,建议不要购买谷歌在中国生产支援蓝芽的金钥,可以手机充电实体金钥,但建议选购时选择非中国制造的Android手机。

问︰用蓝芽和电脑相互通讯来实现保安金钥功能,会不会有保安风险?蓝芽设备之间的加密够不够?

李建军︰蓝芽现代版本协议,都是使用AES加密方式通讯,其实AES的加密强度十分足够,在量子电脑未流行前,都不用太担心加密的问题,因为AES 128位元加密,都要十分强大的运算力才能暴力破解。

另一方面,由于蓝芽功率细,发射距离十分短,一般只有十米,而且不具备穿墙能力,除非对方十分之接近你,例如在同一间房,否则正常都不会截取得到你的蓝芽通讯,这亦是现时主流保安金钥,除了用NFC外,便是用蓝芽通讯的原因。现时蓝芽是十分之安全可靠,至少未有严重资料失窃事件发生过。