两步认证仍不靠谱，谷歌推出物理安全密钥

如果你是Gmail的用户，估计你已经用上了传说中的双因素身份验证（又称两步认证）来防止有人未经授权访问你的在线帐户。但是安全业界对于在智能手机上（APP或者短信）完成双因素认证向来疑虑重重。近日Google终于迈出了下一步：使用物理安全密钥。

在正在进行的Google Cloud Next活动中，谷歌宣布推出Titan安全密钥，用户可通过USB或蓝牙身份验证密钥登录桌面帐户。

Titan密钥USB版可以直插笔记本电脑，蓝牙版本则可以无线工作，电池续航长达六个月。CNET报道称，目前Titan的成本在20美元到25美元之间，但谷歌表示希望尽快将成本降低到10美元左右。

其实物理安全密钥并非新发明，瑞典安全公司Yubico已经生产销售了好几年安全密钥，并提供了一系列不同的型号，你可以在桌面和手机上使用在线服务 – 也包括谷歌的服务。

Yubico全系列桌面和移动认证密钥  图片来源：YubiKey

硬件密钥设备可以防范黑客通过网络钓鱼攻击访问用户帐户：黑客可以利用精心制作的钓鱼电子邮件套出你的密码，但如果你的帐户需要物理密钥，黑客就会白辛苦一场。

谷歌本周早些时候指出，自2017年初以来，由于使用了这些物理密钥，公司85,000多名员工中没有一人成为此类攻击的牺牲品。经过这一年多的内部部署测试后，谷歌开始通过销售代表向云服务客户提供物理密钥产品。

作为普通个人用户，你需要买一个物理密钥吗？如果您定期处理敏感信息，那么强烈建议购买 – 无论是Google的Titan密钥，还是Yubico的产品，或者是从柏林的Nitrokey购买开源替代品，都可以显著提高你的账户安全性。

谷歌称它很快就会开始在官方网上商店销售Titan密钥，但是用户的安全意识和安全习惯的扭转并非易事。今年早些时候，谷歌工程师Grzegorz Milka表示，只有不到10％的Gmail用户在他们的账户上使用双因素身份验证。