据外媒The Verge报道,4月10日,谷歌宣布,任何搭载Android 7或更高版本的手机现在都可以用作两步验证(2FA)的物理安全密钥,可以让谷歌用户可以比现在提供的其他几种现有2FA方法更安全地登录谷歌应用程序和云服务。且如果用户想使用物理设备进行登录信息验证,不需要再另购买实体加密锁,而是可以直接用安卓手机进行操作。新的用户安全方案适用于Gmail、G Suite、Google Cloud以及其他谷歌账号服务。
要让安卓手机成为物理安全密钥,用户只需要注册谷歌账户并加入谷歌的安全服务队列(2SV),拥有Android 7.0+的手机和支持蓝牙功能的操作系统,Chrome OS、装有Chrome浏览器的MacOS X或Windows 10都可以。通过蓝牙将手机连接到PC,再用PC上的Chrome浏览器来验证登录。新的身份验证方案适用于Gmail、G Suite、Google Cloud以及其他谷歌帐户服务,并使用FIDO身份验证标准。谷歌表示,其他网站可能会在稍后添加这种方案。
如果用户正在使用Pixel 3,则能够使用音量降低键来激活安全密钥,因为谷歌表示它正在将FIDO凭据存储在Pixel的Titan M芯片中,该芯片可以验证按钮是否合法。其他Android 7及更高版本的设备仍可用作两步身份验证方法,但需要登录并点击一个按钮。
谷歌方面认为,对抗网络钓鱼攻击是一项重大挑战,虽然他们会自动阻止一些恶意的登录尝试(即使攻击者拥有被害者的账号与密码),但额外的保护措施还是会有所帮助。因为基于FIDO标准的安全密钥,是当今市场上最强大,最有抗钓鱼能力的2SV方案。这些物理安全密钥通过要求用户在可疑或无法识别的登录尝试期间,使用用户的密钥来保护用户的账号免受网络钓鱼者的攻击。尤其建议有高级账户安全需求的人群,如记者,活动策划人群,商业领袖和政治竞选团队。
目前,谷歌的物理安全密钥服务只适用安卓手机,并且专门用于登录谷歌服务,而不是第三方网站。谷歌表示,由于新技术运行在相同的协议上,包括物理安全密钥的FIDO标准,其他公司实现类似技术只是时间问题。除Chrome外,其他浏览器也可能获得支持,其他服务最终也可能会扩展到使用安卓手机作为安全密钥。谷歌宣称,他们正在努力实现这一终极目标。