密碼時代宣告終結，Google新加密技術Yubico推動安全升級

密碼時代宣告終結，Google新加密技術Yubico推動安全升級

 

過往，網路世界只需帳號密碼作為防護足以堪用，今日隨著雲端科技普及，人們開始把重要資訊如財務資料、文件、數據等一股腦往雲端送，眼看密碼時代即將畫下句點，Google新法寶Yubico也應運而生。

 

Wired記者杭南（Mat Honan）去年8月Gmail信箱遭駭客入侵，Twitter帳號被張貼種族歧視言論，駭客遠端控制刪除他在iPhone、iPad和筆電上整整花了一年時間儲存的電郵和照片等資料，這起資安悲劇讓人感受到密碼的脆弱，也催生新的加密技術。

 

Google在本月出刊的「IEEE安全和隱私科技雜誌」（IEEE Security and Privacy）中發表論文，表示傳統密碼過於脆弱易遭破解，未來加密技術將走向實體化，將認證資料嵌入到戒指或其他硬體裝置，輕觸感應或插入裝置即可安全不費力地存取資料。

 

Google安全部門副總葛羅瑟（Eric Grosse）與工程師烏帕德希雅（Mayank Upadhyay）在研究中表示，許多產業體認密碼或存在用戶端的辨識數據cookies已不再安全，因此不斷試驗多種可以取代目前技術的加密方式，加密卡Yubico就是其中之一。

 

用戶只需把此小型USB插入裝置就能讓瀏覽器自動登入Google，目前研發團隊已修改Google Chrome讓用戶方便使用，只要插入、註冊就可以用滑鼠輕鬆點擊操作。

 

未來，智慧型手機用戶的Yubico加密卡經過認證，即可作為線上帳戶或信箱的鑰匙，甚至還可能以無線技術簡化「上鎖」及「解鎖」手續，即使手機沒有通訊也只需要輕觸裝置便可驗證。不過，實體化就意味者有失竊風險，萬一丟失必須立即掛失停用。

 

此項技術普及面臨的第一項挑戰是需有足夠的網站對應，Google表示希望能與其他網站合作，並已經開發出獨立於Google的裝置認證協定，不需任何特定軟體就可執行，還可防止網站用認證技術追蹤使用者。

 

在技術普及前，用戶可先倚賴現有的TFA技術，也就是雙重認證方式，除帳號和密碼認證外，再透過第二種方式來驗證身分，可用指紋等生物特徵，或是經由撥打手機和傳送簡訊等方式，現在台灣有許多網站業者用此種方式確認客戶身分，雖然這種技術仍有不完美之處，但比只設密碼來得安全。

 

面臨密碼時代終結不必過於驚慌，只要善用現有的TFA技術，搭配其他安全措施，保持警戒不輕信來路不明網站，最後，耐心等待實體化認證技術問世吧！

 

轉載自《WIRED》