Google:基于 Security Key 的二步认证更安全

过去几年我们目睹了一系列引人注目的账号失窃事件,二步认证被认为有助于防止攻击者在获得用户名和密码后登录用户的账号。有多种二步认证方式,其中比较流行的是基于智能手机和智能卡的二步认证。

基于智能手机的二步认证也存在风险,如发送的短信可能被拦截,手机可能感染恶意程序,或者可能没有信号或没有电。基于智能卡的二步认证则需要定制的阅读器硬件,使用时需要安装驱动。Google内部一项为期两年多的研究显示,基于Security Key的二步认证强于基于智能手机的二步认证。Security Key基于开放标准Universal Second Factor,很容易使用,可随身携带,插在电脑上使用,不存在充电问题,攻击者或钓鱼者也无法窃取到Security Key提供的密钥。

Google、Dropbox、GitHub等网站和软件已经加入了对Security Key的支持。Security Keys也不昂贵,价格最低在10美元左右。

文章转载自 开源中国社区 [http://www.oschina.net]

时间: 2024-10-11 00:20:06

Google:基于 Security Key 的二步认证更安全的相关文章

Linux Kernel Git 库加入二步认证

Linux内核开发者以前向官方Git库直接递交代码是使用kernel.org发行的SSH私钥.SSH私钥比密码要安全,但也很容易落在恶意的人手中,比如工作站被入侵或者私钥被保存在安全不严的备份媒介中.Linux基金会现在宣布加强安全访问要求,引入二步认证.硬件令牌Yubikeys的开发商Yubico以折扣和捐赠的形式向所有kernel.org上有账号的内核开发者提供了硬件令牌Yubikeys.kernel.org曾在2011年遭到了黑客的入侵,网站因此关闭了近一个月.

Mozilla 宣布引入二步认证

Mozilla承认,攻击者未经授权访问了它的bug跟踪系统Bugzilla,窃取了未披露的Firefox漏洞信息.为了降低未来Bugzilla的攻击风险,Mozilla宣布了新的安全措施:所有访问安全敏感信息的用户将需要重置密码,使用二步认证. Mozilla还将减少拥有特权访问权限的用户数量,限制特权用户的操作,使得攻击者更难入侵,减少攻击者入侵后能访问的敏感信息量. 文章转载自 开源中国社区[https://www.oschina.net]

谈谈基于OAuth 2.0的第三方认证 [上篇]

对于目前大部分Web应用来说,用户认证基本上都由应用自身来完成.具体来说,Web应用利用自身存储的用户凭证(基本上是用户名/密码)与用户提供的凭证进行比较进而确认其真实身份.但是这种由Web应用全权负责的认证方式会带来如下两个问题: 对于用户来说,他们不得不针对不同的访问Web应用提供不同的用户凭证.如果这些凭证具有完全不同的密码,我们没有多少人能够记得住,所以对于大部分整天畅游Internet的网友来说,我想他们在不同的网站注册的帐号都会采用相同的密码.密码的共享必然带来安全隐患,因为我们不能

GitHub 宣布支持 U2F 两步认证

近日,GitHub 宣布支持 FIDO Universal 2nd Factor (U2F) 认证,并鼓励开发者也在他们自己的应用中支持 U2F 认证. U2F 是一种实现两步认证的开放认证标准.用户在使用支持 U2F 标准的物理设备 (如 USB Key) 时,输入用户名.密码,然后插入 Key 触摸一下就可以登录认证了. 说起来,这好像跟我们此前用的网银 U 盾差不多,不过网银 U 盾彼此并不兼容,也就是说,原则上你有多少银行卡就要配多少 U 盾.但 U2F 不必这样,U2F 是开放标准,这

谈谈基于OAuth 2.0的第三方认证 [中篇]

虽然我们在<上篇>分别讨论了4种预定义的Authorization Grant类型以及它们各自的适用场景的获取Access Token的方式,我想很多之前没有接触过OAuth 2.0的读者朋友们依然会有"不值所云" 之感,所以在介绍的内容中,我们将采用实例演示的方式对Implicit和Authorization Code这两种常用的Authorization Grant作深入介绍.本章着重介绍Implicit Authorization Grant. Implicit Au

谈谈基于OAuth 2.0的第三方认证 [下篇]

从安全的角度来讲,<中篇>介绍的Implicit类型的Authorization Grant存在这样的两个问题:其一,授权服务器没有对客户端应用进行认证,因为获取Access Token的请求只提供了客户端应用的ClientID而没有提供其ClientSecret:其二,Access Token是授权服务器单独颁发给客户端应用的,照理说对于其他人(包括拥有被访问资源的授权者)应该是不可见的.Authorization Code类型的Authorization Grant很好地解决了这两个问题.

怎样将一个BigIntger转化为Key类型(java.security.Key)?

问题描述 假定A和B需要加密通信,A生成对称密钥作为会话密钥,并用B的公钥加密发送给给B,然后B用自己的私钥解密,得到会话密钥,之后A.B就可以进行加密会话.但是B用自己的私钥解密A发送的密文,所得到的明文(即会话密钥)是BigIntger类型,而会话密钥需要Key类型(java.security.Key),请问怎样将BigIntger转化为Key呢?或者有其他的解决方法. 就相当于用RSA的公钥将一个对称密钥Key加密,然后再用私钥解密,希望得到之前的Key,但是解密后得到的是一个BigInt

Google Chrome中的高性能网络(二)

Chrome Predictor的预测功能优化 Chrome会随着使用变得更快. 它这个特性是通过一个单例对象Predictor来实现的.这个对象在浏览器内核进程(Browser Kernel Process)中实例化,它唯一的职责就是观察和学习当前网络活动方式,提前预估用户下一步的操作.下面是一个示例: 用户将鼠标停留在一个链接上,就预示着一个用户的偏好以及下一步的浏览行为.这时Chrome就可以提前进行DNS Lookup及TCP握手.用户的点击操作平均需要将近200ms,在这个时间就可能处

简单二步实现百度1天收录新站

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 众所周知,新站能被搜索引擎收录是每个站长的梦想,也是获得成就感的开始.而我的新站(健康环保产品招商网www.39ep.com)一天就被百度收录,5月28日晚上8点上传网站,29日中午百度搜索就发现百度已经收录了,当时确实非常高兴,是我获得成就感的第一滴甘泉,清凉甘甜.好了,费话少说,下面跟大家简单分享一下我的新站所做两个步骤. 第一,就是做关