Google为Android手机提供了内置的安全密钥功能

安全密钥可以阻止复杂的网络钓鱼攻击破坏您的帐户，但大多数会使您损失每把密钥20至50美元。这是该技术尚未得到广泛采用的一个重要原因，但Google希望通过让您的Android手机充当安全密钥来改变这种状况。

周三，谷歌开始向那些运行Android 7.0及更高版本的智能手机的用户提供该选项。内置安全密钥的功能类似于基于硬件的安全密钥，只是它是免费的。

使用此系统，当您在PC上输入密码时，通知将发送到听筒。系统将要求您确认要登录。从那里，Android手机将通过蓝牙向PC签署身份验证请求，从而解锁您的帐户。对于已经在PC上登录自己的Google帐户时使用了双重身份验证的用户，该过程将很熟悉。区别在于内在。

额外的安全层旨在确保只有您可以登录自己的帐户。目前，该技术仅适用于Google和G Suite帐户。它还需要一台支持蓝牙和Chrome浏览器的PC。但目标是将安全技术引入其他浏览器，包括Firefox和Safari，以及第三方网站。设置方法如下。

尝试杀死密码

Google产品经理克里斯蒂安·布兰德(Christiaan Brand)告诉PCMag：“我们希望尽可能广泛地使用这项技术。”

广告

Google的解决方案使用FIDO 2标准，并且像物理安全密钥一样工作;您的电话将存储一个加密密钥，该密钥可用于签署身份验证请求以解锁指定的在线帐户。

使该解决方案能够抵御网络钓鱼的原因在于，安全密钥永远不会通过互联网传输您的加密密钥。该技术将仅在来自官方帐户提供商的身份验证请求中签名。因此，即使是最出色的黑客提供的看起来相似的网络钓鱼页面也无法欺骗安全密钥。

Google之所以选择Android 7.0及更高版本，是因为操作系统版本需要使用所谓的“受信任的执行环境”(TEE)，即电话处理器的隔离区域。通过TEE，电话可以存储和处理您最机密的信息，例如加密的指纹数据，而这一切都不会离开设备。

布兰德说，在大多数情况下，谷歌的内置安全密钥将利用TEE来存储加密密钥信息。另一方面，该公司的Pixel 3设备将把密码密钥存储在Google的定制Titan安全芯片中，该芯片也与手机的主处理器分开。

目前，您只能使用一部Android手机作为您的物理安全密钥;如果您购买了一部新手机，则可以从旧手机中注销并在新设备上进行设置。

您应该信任Google吗?

一些人可能对Google最新的安全解决方案持怀疑态度。毕竟，该公司的Android OS并非没有恶意软件威胁或危险的软件利用漏洞。但是Google产品经理告诉PCMag，破坏其内置的安全密钥解决方案可能需要对手机进行物理访问。如果发生这种情况，无论如何您都会遇到麻烦。

布兰德说：“这里的重点是网络钓鱼问题已经停止。”“是的，第二个问题可能是，'好吧，现在我有一个攻击者插入了电缆，并且对Android 7具有零时漏洞利用，他们可以从闪存驱动器中获取手机文件。这可能是一个问题。但这绝对是主要问题的第二远。”

Google产品管理总监Sam Srinivas补充说，有太多人继续仅使用密码来保护自己的帐户。他说：“真正的威胁是坐在3,000英里之外的人，向您发送虚假的登录页面。而这正是我们真正要防止的：远程攻击。那确实是明显的当前危险。”

不幸的是，许多其他网站(如银行网站)仍然不提供安全密钥保护。其他人仅提供两因素身份验证系统，该系统通过SMS生成一次性密码，在某些情况下也可能不安全。但是斯里尼瓦斯表示，他希望谷歌的内置安全密钥解决方案最终成为整个行业的标准。

为什么要使用安全密钥?

该解决方案代表了Google和许多顶级互联网公司已经提供的现有两要素身份验证(2FA)系统的重大升级。2FA通常通过要求您输入密码和特殊的一次性密码来工作，该密码通常可以通过SMS文本或应用程序在智能手机上生成。因此，即使您的密码被猜测或被盗，黑客仍然无法破解。

不幸的是，2FA并不完美。黑客已经表明，他们可以诱使受害者通过具有官方外观的网络钓鱼电子邮件来发送一次性密码。

输入安全密钥。它的工作原理类似于两因素身份验证，但是将一次性密码替换为攻击者必须物理上窃取的物理设备才能访问您的帐户。包括Google，Facebook，Twitter和Dropbox在内的公司都通过其帐户提供安全密钥保护。

Google非常喜欢该解决方案，以至于在2017年决定为所有员工提供安全密钥。从那以后，它没有遇到任何确认的与工作相关的帐户的接管。去年，谷歌还开始以50美元的价格出售自己的“ Titan”安全密钥产品。

但是尽管有Titan，但Google的商业客户一直在寻求一种将安全密钥技术带给更多员工的方法。作为回应，该公司将目光投向了智能手机，这是大多数人始终随身携带的一种设备。

要使用内置的安全密钥完全保护您的Google帐户，您需要进入安全设置并删除已启用的其他任何两个因素的身份验证步骤(例如SMS一次性密码，Google提示)为您的帐户。但要权衡的是，Google的内置安全密钥当前仅适用于具有蓝牙功能的Windows 10，macOS和Chrome OS设备。